Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.12.2018, 16:01   #1
CGH
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



Ich habe an Weihnachten den Laptop meiner Schwiegermutter mit nach Hause bekommen. Im Vorfeld wurde zum zweiten Mal ihr Amzon-Konto gehackt und eine Bestellung getätigt.
Zwischen der ersten und der zweiten Bestellung wurden soweit mir bekannt das Email- und auch das Amazon-Passwort geändert.
Ich würde gerne den Laptop nach Anleitung durchforsten und anschließend absichern.


Liebe Grüße
Christoph

Alt 30.12.2018, 17:40   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



Ja und weiter? Irgendwelche Hinweise auf Schädlinge? Wenn ja wo sind die Logs dazu?
__________________

__________________

Alt 30.12.2018, 18:55   #3
CGH
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



Na klar, die Logs.


Ich habe den ADW-Cleaner durchlaufen lassen. Dies wurde bei meinem letzten Befall empfohlen.

Hier die Logdatei:

Code:
ATTFilter
# -------------------------------
# Malwarebytes AdwCleaner 7.2.6.0
# -------------------------------
# Build:    12-18-2018
# Database: 2018-12-17.4 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    12-30-2018
# Duration: 00:00:05
# OS:       Windows 8.1 Pro
# Cleaned:  16
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Windows\Temp\APN-Stub
Deleted       C:\Users\Petra\AppData\Local\Temp\APN-Stub
Deleted       C:\Users\Petra\AppData\Local\Temp\DMR
Deleted       C:\Program Files (x86)\iolo\System Checkup
Deleted       C:\Windows\System32\config\systemprofile\AppData\LocalLow\pandasecuritytb
Deleted       C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\pandasecuritytb
Deleted       C:\ProgramData\apn
Deleted       C:\Users\Petra\AppData\Local\Temp\apn

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|ApnTBMon
Deleted       HKCU\Software\Yahoo\Companion
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{F075253D-4883-439D-8814-D4F873570B03}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{AE3C85C3-CDEF-432C-BD6F-3172ACCD8110}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{6564AD6B-A614-4E8F-B8EB-D49D04D07DBE}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{F76E39A3-DFFE-4342-8FF6-7F6D71EAB9ED}
Deleted       HKCU\Software\Microsoft\Internet Explorer\DOMStorage\cdn.castplatform.com
Deleted       HKCU\Software\Microsoft\Internet Explorer\DOMStorage\castplatform.com

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Prefetch
[+] Delete Tracing Keys
[+] Reset Chromium Policies
[+] Reset IE Policies
[+] Reset Proxy Settings
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [2851 octets] - [30/12/2018 18:13:12]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
         


MBAM:
Zitat:
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 30.12.18
Scan-Zeit: 18:29
Protokolldatei: 66dfd3dc-0c58-11e9-998a-3c970ec086ab.json

-Softwaredaten-
Version: 3.6.1.2711
Komponentenversion: 1.0.508
Version des Aktualisierungspakets: 1.0.8211
Lizenz: Kostenlos

-Systemdaten-
Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: PETRA-PC\Petra

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 270485
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 6 Min., 40 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)

Danach FRST - ist das in Ordnung soweit?

FRST:
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 29.12.2018
durchgeführt von Petra (Administrator) auf PETRA-PC (30-12-2018 18:44:29)
Gestartet von C:\Users\Petra\Desktop
Geladene Profile: Petra (Verfügbare Profile: Petra)
Platform: Windows 8.1 Pro (Update) (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Lenovo.) C:\Windows\System32\ibmpmsvc.exe
(Broadcom Corporation.) C:\Program Files\Lenovo\Bluetooth Software\btwdins.exe
(HP Inc.) C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe
(Microsoft Corporation) C:\Windows\System32\SkyDrive.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Broadcom Corporation.) C:\Program Files\Lenovo\Bluetooth Software\BTTray.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
(Vimicro) C:\Program Files (x86)\USB Camera\VM331STI.EXE
(Hewlett-Packard) C:\Program Files (x86)\HP\HP Software Update\hpwuschd2.exe
(Microsoft Corporation) C:\Windows\SysWOW64\rundll32.exe
(Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
(Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM-x32\...\Run: [331BigDog] => C:\Program Files (x86)\USB Camera\VM331STI.EXE [548864 2012-08-30] (Vimicro)
HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [96056 2013-05-30] (Hewlett-Packard)
HKLM-x32\...\Run: [] => [X]
Winlogon\Notify\igfxcui: C:\WINDOWS\system32\igfxdev.dll (Intel Corporation)
HKU\S-1-5-21-4249609997-4161300745-3130974587-1001\...\Run: [Amazon Music] => C:\Users\Petra\AppData\Local\Amazon Music\Amazon Music Helper.exe [5886784 2015-05-07] ()
HKU\S-1-5-18\...\RunOnce: [panda] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda" /f
HKU\S-1-5-18\...\RunOnce: [panda_XP] => reg.exe delete "HKCU\Software\panda" /f
HKLM\Software\Microsoft\Active Setup\Installed Components: [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] -> C:\Program Files\Windows Mail\WinMail.exe [2014-10-29] (Microsoft Corporation)
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] -> C:\Program Files (x86)\Windows Mail\WinMail.exe [2014-10-29] (Microsoft Corporation)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk [2013-11-23]
ShortcutTarget: Bluetooth.lnk -> C:\Program Files\Lenovo\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
Startup: C:\Users\Petra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tintenwarnungen überwachen - HP Deskjet 3050A J611 series.lnk [2018-12-30]
ShortcutTarget: Tintenwarnungen überwachen - HP Deskjet 3050A J611 series.lnk -> C:\Program Files\HP\HP Deskjet 3050A J611 series\Bin\HPStatusBL.dll (Hewlett-Packard Co.)
BootExecute: autocheck autochk * sdnclean64.exe
GroupPolicyScripts: Beschränkung <==== ACHTUNG
GroupPolicyScripts-x32: Beschränkung <==== ACHTUNG

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
Tcpip\..\Interfaces\{CE092FCB-F591-4C3A-BDF6-00C3C8070872}: [DhcpNameServer] 192.168.2.1

Internet Explorer:
==================
HKU\S-1-5-21-4249609997-4161300745-3130974587-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/de-de/?ocid=iehp
BHO: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL [2013-12-19] (Microsoft Corporation)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL [2013-12-19] (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_40\bin\ssv.dll [2015-03-05] (Oracle Corporation)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_40\bin\jp2ssv.dll [2015-03-05] (Oracle Corporation)

FireFox:
========
FF ProfilePath: C:\Users\Petra\AppData\Roaming\Mozilla\Firefox\Profiles\qwf5ocew.default [2018-12-30]
FF NetworkProxy: Mozilla\Firefox\Profiles\qwf5ocew.default -> type", 0
FF Extension: (URL der Filterliste) - C:\Users\Petra\AppData\Roaming\Mozilla\Firefox\Profiles\qwf5ocew.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2018-12-05]
FF SearchPlugin: C:\Users\Petra\AppData\Roaming\Mozilla\Firefox\Profiles\qwf5ocew.default\searchplugins\youtube-videosuche.xml [2013-11-23]
FF Extension: (Yahoo! Toolbar) - C:\Program Files (x86)\Mozilla Firefox\distribution\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2016-11-24] [Legacy] [ist nicht signiert]
FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF64_27_0_0_187.dll [2017-11-14] ()
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\WINDOWS\SysWOW64\Macromed\Flash\NPSWF32_27_0_0_187.dll [2017-11-14] ()
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2015-02-11] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2015-02-11] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2015-02-11] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2015-02-11] (Foxit Corporation)
FF Plugin-x32: @java.com/DTPlugin,version=11.40.2 -> C:\Program Files (x86)\Java\jre1.8.0_40\bin\dtplugin\npDeployJava1.dll [2015-03-05] (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=11.40.2 -> C:\Program Files (x86)\Java\jre1.8.0_40\bin\plugin2\npjp2.dll [2015-03-05] (Oracle Corporation)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation)

Chrome: 
=======
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 btwdins; C:\Program Files\Lenovo\Bluetooth Software\btwdins.exe [958680 2013-05-28] (Broadcom Corporation.)
R2 HPSupportSolutionsFrameworkService; C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe [323952 2017-09-27] (HP Inc.)
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [6347056 2018-09-19] (Malwarebytes)
S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [361824 2017-01-12] (Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [119872 2017-01-12] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 aftap0901; C:\WINDOWS\system32\DRIVERS\aftap0901.sys [48624 2017-11-16] (The OpenVPN Project)
S3 btwpanfl; C:\WINDOWS\system32\drivers\btwpanfl.sys [44912 2013-01-20] (Broadcom Corporation.)
S3 dg_ssudbus; C:\WINDOWS\system32\DRIVERS\ssudbus.sys [129152 2016-04-24] (Samsung Electronics Co., Ltd.)
R3 MBAMSwissArmy; C:\WINDOWS\System32\Drivers\mbamswissarmy.sys [261032 2018-12-30] (Malwarebytes)
S3 ssudmdm; C:\WINDOWS\system32\DRIVERS\ssudmdm.sys [221824 2016-04-24] (Samsung Electronics Co., Ltd.)
R3 vm331avs; C:\WINDOWS\System32\Drivers\vm331avs.sys [981112 2012-09-05] (Vimicro Corporation)
S3 WdBoot; C:\WINDOWS\system32\drivers\WdBoot.sys [46600 2017-02-10] (Microsoft Corporation)
R0 WdFilter; C:\WINDOWS\System32\drivers\WdFilter.sys [274776 2017-01-12] (Microsoft Corporation)
S3 WdNisDrv; C:\WINDOWS\System32\Drivers\WdNisDrv.sys [117592 2017-01-12] (Microsoft Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2018-12-30 18:44 - 2018-12-30 18:45 - 000010337 _____ C:\Users\Petra\Desktop\FRST.txt
2018-12-30 18:44 - 2018-12-30 18:44 - 000000000 ____D C:\FRST
2018-12-30 18:43 - 2018-12-30 18:43 - 002424320 _____ (Farbar) C:\Users\Petra\Desktop\FRST64.exe
2018-12-30 18:39 - 2018-12-30 18:39 - 001781760 _____ (Farbar) C:\Users\Petra\Desktop\FRST.exe
2018-12-30 18:28 - 2018-12-30 18:28 - 000261032 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbamswissarmy.sys
2018-12-30 18:28 - 2018-12-30 18:28 - 000001883 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
2018-12-30 18:28 - 2018-12-30 18:28 - 000000000 ____D C:\Users\Petra\AppData\Local\mbamtray
2018-12-30 18:28 - 2018-12-30 18:28 - 000000000 ____D C:\Users\Petra\AppData\Local\mbam
2018-12-30 18:28 - 2018-12-30 18:28 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes
2018-12-30 18:28 - 2018-12-30 18:28 - 000000000 ____D C:\Program Files\Malwarebytes
2018-12-30 18:28 - 2018-12-04 08:09 - 000152688 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbae64.sys
2018-12-30 18:14 - 2018-12-30 18:15 - 081227760 _____ (Malwarebytes ) C:\Users\Petra\Desktop\mb3-setup-consumer-3.6.1.2711-1.0.508-1.0.8211.exe
2018-12-30 18:11 - 2018-12-30 18:13 - 007320272 _____ (Malwarebytes) C:\Users\Petra\Desktop\adwcleaner_7.2.6.0.exe
2018-12-30 18:10 - 2018-12-30 18:14 - 000000000 ____D C:\AdwCleaner
2018-12-30 16:18 - 2018-12-30 16:18 - 000000085 _____ C:\WINDOWS\wininit.ini
2018-12-30 16:18 - 2018-12-30 16:18 - 000000000 ____D C:\WINDOWS\System32\Tasks\Safer-Networking
2018-12-30 16:07 - 2018-12-30 16:07 - 000000000 ____D C:\Users\Petra\Documents\Dateien Downloadordner
2018-12-30 16:00 - 2018-12-30 16:01 - 000000000 ____D C:\Users\Petra\Documents\Dateien Desktop
2018-12-01 16:57 - 2018-12-01 00:43 - 000835688 _____ (Adobe Systems Incorporated) C:\WINDOWS\SysWOW64\FlashPlayerApp.exe
2018-12-01 16:57 - 2018-12-01 00:43 - 000179808 _____ (Adobe Systems Incorporated) C:\WINDOWS\SysWOW64\FlashPlayerCPLApp.cpl

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2018-12-30 18:38 - 2013-09-30 05:14 - 001769264 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2018-12-30 18:38 - 2013-09-30 04:56 - 000759378 _____ C:\WINDOWS\system32\perfh007.dat
2018-12-30 18:38 - 2013-09-30 04:56 - 000156604 _____ C:\WINDOWS\system32\perfc007.dat
2018-12-30 18:38 - 2013-08-22 14:36 - 000000000 ____D C:\WINDOWS\Inf
2018-12-30 18:31 - 2013-11-23 07:41 - 000003598 _____ C:\WINDOWS\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-4249609997-4161300745-3130974587-1001
2018-12-30 18:28 - 2015-06-15 13:41 - 000000000 ____D C:\ProgramData\Malwarebytes
2018-12-30 18:26 - 2014-01-02 14:50 - 000000000 __RDO C:\Users\Petra\SkyDrive
2018-12-30 18:16 - 2013-08-22 15:45 - 000000006 ____H C:\WINDOWS\Tasks\SA.DAT
2018-12-30 18:15 - 2015-06-15 14:36 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2018-12-30 18:14 - 2017-06-05 11:53 - 000000000 ____D C:\Program Files (x86)\iolo
2018-12-30 16:21 - 2012-07-26 08:59 - 000000000 ____D C:\WINDOWS\CbsTemp
2018-12-30 16:19 - 2017-06-05 11:53 - 000000000 ____D C:\ProgramData\iolo
2018-12-30 16:18 - 2015-06-15 14:36 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2018-12-30 16:15 - 2015-06-15 13:33 - 000000000 ____D C:\Program Files (x86)\Panda Security
2018-12-30 16:15 - 2013-08-22 15:44 - 000485800 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2018-12-30 16:14 - 2013-08-22 14:25 - 000524288 ___SH C:\WINDOWS\system32\config\BBI
2018-12-30 16:13 - 2016-11-24 11:55 - 000000000 ____D C:\Users\Petra\AppData\LocalLow\Mozilla
2018-12-30 16:12 - 2015-06-15 13:36 - 000000000 ____D C:\Users\Petra\AppData\Roaming\Panda Security
2018-12-30 16:12 - 2015-06-15 13:23 - 000000000 ____D C:\ProgramData\Panda Security
2018-12-30 16:06 - 2014-07-02 11:28 - 000003930 _____ C:\WINDOWS\System32\Tasks\User_Feed_Synchronization-{B4D76D66-3678-485D-85B9-1AE6EE7947C0}
2018-12-27 10:13 - 2016-11-24 11:47 - 000000000 ____D C:\Program Files (x86)\Mozilla Firefox
2018-12-27 10:13 - 2013-11-23 11:52 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2018-12-19 16:49 - 2013-11-23 11:52 - 000001175 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk
2018-12-01 16:42 - 2013-11-23 12:35 - 000000000 ____D C:\WINDOWS\system32\MRT
2018-12-01 16:30 - 2013-11-23 12:35 - 137810048 ____C (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe

Einige Dateien in TEMP:
====================
2014-11-30 12:34 - 2015-06-15 14:56 - 000000000 ____D () C:\Users\Petra\AppData\Local\Temp\avgnt.exe

==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\WINDOWS\system32\winlogon.exe => Datei ist digital signiert
C:\WINDOWS\system32\wininit.exe => Datei ist digital signiert
C:\WINDOWS\explorer.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\explorer.exe => Datei ist digital signiert
C:\WINDOWS\system32\svchost.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\svchost.exe => Datei ist digital signiert
C:\WINDOWS\system32\services.exe => Datei ist digital signiert
C:\WINDOWS\system32\User32.dll => Datei ist digital signiert
C:\WINDOWS\SysWOW64\User32.dll => Datei ist digital signiert
C:\WINDOWS\system32\userinit.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\userinit.exe => Datei ist digital signiert
C:\WINDOWS\system32\rpcss.dll => Datei ist digital signiert
C:\WINDOWS\system32\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\system32\Drivers\volsnap.sys => Datei ist digital signiert

LastRegBack: 2017-11-14 14:32

==================== Ende von FRST.txt ============================
         

Addition:
Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 29.12.2018
durchgeführt von Petra (30-12-2018 18:46:32)
Gestartet von C:\Users\Petra\Desktop
Windows 8.1 Pro (Update) (X64) (2013-11-23 19:02:47)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-4249609997-4161300745-3130974587-500 - Administrator - Disabled)
Gast (S-1-5-21-4249609997-4161300745-3130974587-501 - Limited - Disabled)
Petra (S-1-5-21-4249609997-4161300745-3130974587-1001 - Administrator - Enabled) => C:\Users\Petra

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)


==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

7-Zip 9.20 (x64 edition) (HKLM\...\{23170F69-40C1-2702-0920-000001000000}) (Version: 9.20.00.0 - Igor Pavlov)
Adobe Flash Player 27 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 27.0.0.187 - Adobe Systems Incorporated)
Amazon Music (HKU\S-1-5-21-4249609997-4161300745-3130974587-1001\...\Amazon Amazon Music) (Version: 3.9.5.820 - Amazon Services LLC)
Broadcom 802.11 Network Adapter (HKLM\...\Broadcom 802.11 Network Adapter) (Version: 6.30.59.151 - Broadcom Corporation)
calibre (HKLM-x32\...\{3000D354-D0BB-4FF3-89F9-04B6E9DD51BA}) (Version: 2.47.0 - Kovid Goyal)
Foxit Reader (HKLM-x32\...\Foxit Reader_is1) (Version: 7.2.8.1124 - Foxit Software Inc.)
HP Deskjet 3050A J611 series - Grundlegende Software für das Gerät (HKLM\...\{61ADDE9C-3AE6-46FC-9127-DFFF637AED03}) (Version: 28.0.1315.0 - Hewlett-Packard Co.)
HP Deskjet 3050A J611 series Hilfe (HKLM-x32\...\{97DDCAB8-B770-4089-A10F-67568069D78A}) (Version: 140.0.2.2 - Hewlett Packard)
HP Photo Creations (HKLM-x32\...\HP Photo Creations) (Version: 1.0.0.7702 - HP)
HP Support Solutions Framework (HKLM-x32\...\{A38E954F-9043-42BD-9DE9-246ED183791D}) (Version: 12.8.37.11 - HP)
HP Update (HKLM-x32\...\{912D30CF-F39E-4B31-AD9A-123C6B794EE2}) (Version: 5.005.002.002 - Hewlett-Packard)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.17.10.2932 - Intel Corporation)
Java 8 Update 40 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218040F0}) (Version: 8.0.400 - Oracle Corporation)
Lenovo Bluetooth with Enhanced Data Rate Software (HKLM\...\{C6D9ED03-6FCF-4410-9CB7-45CA285F9E11}) (Version: 12.0.0.7000 - Broadcom Corporation)
Lenovo Power Management Driver (HKLM\...\Power Management Driver) (Version: 1.67.03.13 - )
Malwarebytes Version 3.6.1.2711 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.6.1.2711 - Malwarebytes)
Microsoft Office Professional Plus 2010 (HKLM-x32\...\Office14.PROPLUS) (Version: 14.0.7015.1000 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64)) (Version: 10.0.50903 - Microsoft Corporation)
Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x64) Language Pack - DEU (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64) Language Pack - DEU) (Version: 10.0.50903 - Microsoft Corporation)
Mozilla Firefox 64.0 (x86 de) (HKLM-x32\...\Mozilla Firefox 64.0 (x86 de)) (Version: 64.0 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 64.0.0.6914 - Mozilla)
Service Pack 2 for Microsoft Office 2010 (KB2687455) 32-Bit Edition (HKLM-x32\...\{90140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUS_{DE28B448-32E8-4E8F-84F0-A52B21A49B5B}) (Version:  - Microsoft)
Studie zur Verbesserung von HP Deskjet 3050A J611 series Produkten (HKLM\...\{EF27865C-E636-47C4-8B35-CE8A88045681}) (Version: 28.0.1315.0 - Hewlett-Packard Co.)
Visual Studio 2012 x64 Redistributables (HKLM\...\{8C775E70-A791-4DA8-BCC3-6AB7136F4484}) (Version: 14.0.0.1 - AVG Technologies)
Visual Studio 2012 x86 Redistributables (HKLM-x32\...\{98EFF19A-30AB-4E4B-B943-F06B1C63EBF8}) (Version: 14.0.0.1 - AVG Technologies CZ, s.r.o.)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2010-11-18] (Igor Pavlov)
ContextMenuHandlers1: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll [2015-08-31] (Foxit Software Inc.)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2018-09-19] (Malwarebytes)
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2010-11-18] (Igor Pavlov)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\WINDOWS\system32\igfxpph.dll [2013-10-03] (Intel Corporation)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2018-09-19] (Malwarebytes)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {0B4FB5FD-7040-4401-997B-1DDA99719B72} - System32\Tasks\Adobe Flash Player Updater => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2017-11-14] (Adobe Systems Incorporated)
Task: {3333CB75-7443-4065-9046-966A94BB9801} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Report => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSFReport.exe [2017-06-22] (HP Inc.)
Task: {701B1071-3910-4FD5-A04C-56922A508580} - kein Dateipfad
Task: {9CBB01EA-C679-4F12-B248-B0878D5F8A98} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe [2017-09-20] (HP Inc.)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)


==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2013-05-28 16:55 - 2013-05-28 16:55 - 000049368 _____ () C:\Program Files\Lenovo\Bluetooth Software\btwleapi.dll
2018-11-20 04:46 - 2018-11-20 04:46 - 004310296 _____ () C:\Program Files\Common Files\microsoft shared\OFFICE14\Cultures\OFFICE.ODF
2013-10-03 23:42 - 2013-10-03 23:42 - 000094208 _____ () C:\Windows\System32\IccLibDll_x64.dll
2018-12-30 18:28 - 2018-11-15 11:01 - 002712432 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\SelfProtectionSdk.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2013-08-22 14:25 - 2013-08-22 14:25 - 000000824 _____ C:\WINDOWS\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path: C:\ProgramData\Oracle\Java\javapath;C:\Program Files\Broadcom\Broadcom 802.11 Network Adapter\Driver;;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files\Lenovo\Bluetooth Software\;C:\Program Files\Lenovo\Bluetooth Software\syswow64;C:\Program Files (x86)\Calibre2\
HKU\S-1-5-21-4249609997-4161300745-3130974587-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Petra\AppData\Local\Microsoft\Windows\Themes\RoamedThemeFiles\DesktopBackground\img8.jpg
DNS Servers: Datenträger ist nicht mit dem Internet verbunden.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: RequireAdmin)
HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (Keine Datei)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.

HKU\S-1-5-21-4249609997-4161300745-3130974587-1001\...\StartupApproved\Run: => "Amazon Music"

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{6FB77CDC-3EC6-4BD0-A3C5-BF3EC375CEA7}] => (Allow) C:\Program Files (x86)\AVG\AVG2014\avgmfapx.exe Keine Datei
FirewallRules: [{7E41CA2A-A39F-4571-9729-47C15EBD0867}] => (Allow) C:\Program Files (x86)\AVG\AVG2014\avgmfapx.exe Keine Datei
FirewallRules: [TCP Query User{0F92C336-99D8-49DB-9498-F93DB07DAA50}C:\users\petra\appdata\local\temp\ae1f.tmp\kmservice.exe] => (Allow) C:\users\petra\appdata\local\temp\ae1f.tmp\kmservice.exe Keine Datei
FirewallRules: [UDP Query User{320666BB-B8DD-48B3-8F61-DB51F60E07DA}C:\users\petra\appdata\local\temp\ae1f.tmp\kmservice.exe] => (Allow) C:\users\petra\appdata\local\temp\ae1f.tmp\kmservice.exe Keine Datei
FirewallRules: [{1426B371-49AA-4610-ADD9-E0002F224820}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
FirewallRules: [{DE8ABA31-0621-4E52-992E-68DFD4249504}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
FirewallRules: [TCP Query User{31D11B3D-0F09-47B5-817E-09BD98515EA0}C:\program files (x86)\mozilla firefox\firefox.exe] => (Block) C:\program files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation)
FirewallRules: [UDP Query User{B754F943-0F79-49F0-80B5-58A2A7703FA6}C:\program files (x86)\mozilla firefox\firefox.exe] => (Block) C:\program files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation)
FirewallRules: [{5E942706-D257-4D88-B8B0-87556A213967}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
FirewallRules: [{2AB8C30C-7CE0-4AAE-B34F-318FE3A5F28A}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
FirewallRules: [{74C8DB3C-B1CA-43F2-A9D6-9C4DB1B9C1F7}] => (Allow) C:\Users\Petra\AppData\Local\Temp\7zS04E3\HPDiagnosticCoreUI.exe Keine Datei
FirewallRules: [{7E2D34AD-DD72-427B-B0A5-E9C4A3DEDFC6}] => (Allow) C:\Users\Petra\AppData\Local\Temp\7zS04E3\HPDiagnosticCoreUI.exe Keine Datei
FirewallRules: [{BBF6D1BA-67D3-4F11-B4C0-792A32270110}] => (Allow) C:\Program Files\HP\HP Deskjet 3050A J611 series\Bin\DeviceSetup.exe (Hewlett-Packard Co.)
FirewallRules: [{1173B32D-1E6B-41DF-9A79-002439F57DBD}] => (Allow) C:\Program Files\HP\HP Deskjet 3050A J611 series\Bin\HPNetworkCommunicator.exe (Hewlett-Packard Co.)
FirewallRules: [{44D486A9-4506-4CE7-BA1E-80B999327EC9}] => (Allow) C:\Program Files\HP\HP Deskjet 3050A J611 series\Bin\HPNetworkCommunicatorCom.exe (Hewlett-Packard Co.)
FirewallRules: [{24568709-1067-4BA3-99AE-C283455336D3}] => (Allow) C:\Users\Petra\AppData\Local\Temp\7zS6339\HPDiagnosticCoreUI.exe Keine Datei
FirewallRules: [{2839A1F8-C101-4FB0-955F-2CC0BD4C4E6A}] => (Allow) C:\Users\Petra\AppData\Local\Temp\7zS6339\HPDiagnosticCoreUI.exe Keine Datei

==================== Wiederherstellungspunkte =========================

19-09-2018 14:37:11 Windows Update
30-09-2018 14:43:07 Windows Update
26-10-2018 13:04:31 Windows Update
30-10-2018 09:44:33 Windows Update
06-11-2018 12:27:38 Windows Update
22-11-2018 07:38:22 Windows Update
28-11-2018 10:42:32 Windows Update
01-12-2018 16:27:58 Windows Update
18-12-2018 16:46:26 Windows Update
22-12-2018 11:20:55 Windows Update

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (12/19/2018 04:39:53 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: PSExpCampaign.exe, Version: 4.0.0.4, Zeitstempel: 0x591abb53
Name des fehlerhaften Moduls: PSExpCampaign.exe, Version: 4.0.0.4, Zeitstempel: 0x591abb53
Ausnahmecode: 0xc0000409
Fehleroffset: 0x00052723
ID des fehlerhaften Prozesses: 0xa00
Startzeit der fehlerhaften Anwendung: 0x01d497b10cab2d87
Pfad der fehlerhaften Anwendung: C:\ProgramData\Panda Security\Panda Devices Agent\Downloads\6569f4a17eccbb65f73cd1b414ee6f22\PSExpCampaign.exe
Pfad des fehlerhaften Moduls: C:\ProgramData\Panda Security\Panda Devices Agent\Downloads\6569f4a17eccbb65f73cd1b414ee6f22\PSExpCampaign.exe
Berichtskennung: 53b92930-03a4-11e9-82e2-3c970ec086ab
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (12/18/2018 05:09:18 PM) (Source: Winlogon) (EventID: 4005) (User: )
Description: Der Windows-Anmeldeprozess wurde unerwartet beendet.

Error: (12/09/2018 04:02:54 PM) (Source: Desktop Window Manager) (EventID: 9020) (User: )
Description: Der Desktopfenster-Manager hat einen schwerwiegenden Fehler (0x8898008d) festgestellt.

Error: (11/28/2018 11:03:48 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: PSExpCampaign.exe, Version: 4.0.0.4, Zeitstempel: 0x591abb53
Name des fehlerhaften Moduls: PSExpCampaign.exe, Version: 4.0.0.4, Zeitstempel: 0x591abb53
Ausnahmecode: 0xc0000409
Fehleroffset: 0x00052723
ID des fehlerhaften Prozesses: 0xa50
Startzeit der fehlerhaften Anwendung: 0x01d487018de6ffa7
Pfad der fehlerhaften Anwendung: C:\ProgramData\Panda Security\Panda Devices Agent\Downloads\6569f4a17eccbb65f73cd1b414ee6f22\PSExpCampaign.exe
Pfad des fehlerhaften Moduls: C:\ProgramData\Panda Security\Panda Devices Agent\Downloads\6569f4a17eccbb65f73cd1b414ee6f22\PSExpCampaign.exe
Berichtskennung: e59eb911-f2f4-11e8-82e1-3c970ec086ab
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (11/25/2018 11:32:52 AM) (Source: Winlogon) (EventID: 4005) (User: )
Description: Der Windows-Anmeldeprozess wurde unerwartet beendet.

Error: (11/23/2018 11:49:19 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: PSExpCampaign.exe, Version: 4.0.0.4, Zeitstempel: 0x591abb53
Name des fehlerhaften Moduls: PSExpCampaign.exe, Version: 4.0.0.4, Zeitstempel: 0x591abb53
Ausnahmecode: 0xc0000409
Fehleroffset: 0x00052723
ID des fehlerhaften Prozesses: 0x1194
Startzeit der fehlerhaften Anwendung: 0x01d4831a24269c03
Pfad der fehlerhaften Anwendung: C:\ProgramData\Panda Security\Panda Devices Agent\Downloads\6569f4a17eccbb65f73cd1b414ee6f22\PSExpCampaign.exe
Pfad des fehlerhaften Moduls: C:\ProgramData\Panda Security\Panda Devices Agent\Downloads\6569f4a17eccbb65f73cd1b414ee6f22\PSExpCampaign.exe
Berichtskennung: 6dabfba1-ef0d-11e8-82e1-3c970ec086ab
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (11/22/2018 07:53:24 AM) (Source: Windows Search Service) (EventID: 3007) (User: )
Description: Die Leistungsüberwachung für den Gatherer-Dienst kann nicht initialisiert werden, da die Datenquellen nicht geladen sind oder das freigegebene Speicherobjekt nicht geöffnet werden konnte. Dies beeinträchtigt lediglich die Verfügbarkeit der Leistungsindikatoren. Starten Sie den Computer erneut.

Kontext:  Anwendung, SystemIndex Katalog

Error: (11/12/2018 01:41:25 PM) (Source: Microsoft-Windows-LocationProvider) (EventID: 2006) (User: NT-AUTORITÄT)
Description: There was an error with the Windows Location Provider database


Systemfehler:
=============
Error: (12/30/2018 06:16:15 PM) (Source: Microsoft-Windows-TaskScheduler) (EventID: 413) (User: NT-AUTORITÄT)
Description: Beim Start des Aufgabenplanungsdiensts konnten Aufgaben nicht geladen werden. Zusätzliche Daten: Fehlerwert: 2147942402.

Error: (12/30/2018 06:14:35 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Modules Installer" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (12/30/2018 06:14:35 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Bluetooth Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (12/30/2018 04:15:52 PM) (Source: Microsoft-Windows-TaskScheduler) (EventID: 413) (User: NT-AUTORITÄT)
Description: Beim Start des Aufgabenplanungsdiensts konnten Aufgaben nicht geladen werden. Zusätzliche Daten: Fehlerwert: 2147942402.

Error: (12/30/2018 04:14:24 PM) (Source: Service Control Manager) (EventID: 7043) (User: )
Description: Der Dienst Windows Update konnte nach dem Empfang eines Preshutdown-Steuerelements nicht richtig heruntergefahren werden.

Error: (12/27/2018 10:28:52 AM) (Source: Microsoft-Windows-Kernel-Power) (EventID: 137) (User: )
Description: 4

Error: (12/27/2018 10:22:29 AM) (Source: disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.

Error: (12/27/2018 10:13:35 AM) (Source: Microsoft-Windows-TaskScheduler) (EventID: 413) (User: NT-AUTORITÄT)
Description: Beim Start des Aufgabenplanungsdiensts konnten Aufgaben nicht geladen werden. Zusätzliche Daten: Fehlerwert: 2147942402.


Windows Defender:
===================================
Date: 2015-07-13 12:21:46.353
Description: 
Fehler von Windows Defender beim Aktualisieren von Signaturen.
Neue Signaturversion: 
Vorherige Signaturversion: 
Updatequelle: Benutzer
Signaturtyp: 
Updatetyp: 
Benutzer: NT-AUTORITÄT\Netzwerkdienst
Aktuelle Modulversion: 
Vorherige Modulversion: 
Fehlercode: 0x80070652
Fehlerbeschreibung: Es wird bereits anderweitig eine Installation ausgeführt. Beenden Sie den anderen Installationsvorgang, bevor Sie diese Installation fortsetzen. 

Date: 2015-07-13 12:21:36.243
Description: 
Fehler von Windows Defender beim Aktualisieren von Signaturen.
Neue Signaturversion: 
Vorherige Signaturversion: 1.201.1555.0
Updatequelle: Microsoft Center zum Schutz vor Schadsoftware
Signaturtyp: AntiSpyware
Updatetyp: Voll
Benutzer: NT-AUTORITÄT\Netzwerkdienst
Aktuelle Modulversion: 
Vorherige Modulversion: 1.1.11804.0
Fehlercode: 0x80070652
Fehlerbeschreibung: Es wird bereits anderweitig eine Installation ausgeführt. Beenden Sie den anderen Installationsvorgang, bevor Sie diese Installation fortsetzen. 

Date: 2015-07-13 12:21:36.243
Description: 
Fehler von Windows Defender beim Aktualisieren von Signaturen.
Neue Signaturversion: 
Vorherige Signaturversion: 1.201.1555.0
Updatequelle: Microsoft Center zum Schutz vor Schadsoftware
Signaturtyp: AntiVirus
Updatetyp: Voll
Benutzer: NT-AUTORITÄT\Netzwerkdienst
Aktuelle Modulversion: 
Vorherige Modulversion: 1.1.11804.0
Fehlercode: 0x80070652
Fehlerbeschreibung: Es wird bereits anderweitig eine Installation ausgeführt. Beenden Sie den anderen Installationsvorgang, bevor Sie diese Installation fortsetzen. 

Date: 2015-07-13 12:21:26.040
Description: 
Fehler von Windows Defender beim Aktualisieren von Signaturen.
Neue Signaturversion: 
Vorherige Signaturversion: 
Updatequelle: Benutzer
Signaturtyp: 
Updatetyp: 
Benutzer: NT-AUTORITÄT\Netzwerkdienst
Aktuelle Modulversion: 
Vorherige Modulversion: 
Fehlercode: 0x80070652
Fehlerbeschreibung: Es wird bereits anderweitig eine Installation ausgeführt. Beenden Sie den anderen Installationsvorgang, bevor Sie diese Installation fortsetzen. 

Date: 2015-07-13 12:20:46.921
Description: 
Fehler von Windows Defender beim Aktualisieren von Signaturen.
Neue Signaturversion: 
Vorherige Signaturversion: 1.201.1555.0
Updatequelle: Microsoft Update-Server
Signaturtyp: AntiVirus
Updatetyp: Voll
Benutzer: NT-AUTORITÄT\SYSTEM
Aktuelle Modulversion: 
Vorherige Modulversion: 1.1.11804.0
Fehlercode: 0x80240016
Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates. Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie unter "Hilfe und Support". 

==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Pentium(R) CPU 2020M @ 2.40GHz
Prozentuale Nutzung des RAM: 51%
Installierter physikalischer RAM: 1627.14 MB
Verfügbarer physikalischer RAM: 782.46 MB
Summe virtueller Speicher: 3035.14 MB
Verfügbarer virtueller Speicher: 2091.37 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:297.09 GB) (Free:238.47 GB) NTFS
Drive f: (HEITING) (Removable) (Total:14.7 GB) (Free:14.7 GB) FAT32

\\?\Volume{bfc32807-5408-11e3-be65-806e6f6e6963}\ (LENOVO_DOS) (Fixed) (Total:1 GB) (Free:0.98 GB) FAT32

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 298.1 GB) (Disk ID: 04AD19DE)
Partition 1: (Active) - (Size=1 GB) - (Type=0B)
Partition 2: (Not Active) - (Size=297.1 GB) - (Type=07 NTFS)

========================================================
Disk: 2 (Size: 14.7 GB) (Disk ID: 0DFF7265)
No partition Table on disk 2.

==================== Ende von Addition.txt ============================
         
__________________

Geändert von CGH (30.12.2018 um 18:46 Uhr)

Alt 30.12.2018, 19:22   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



Du solltest keine neuen Scans machen, sondern vorhandene Logs posten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.12.2018, 19:27   #5
CGH
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



Zitat:
Zitat von cosinus Beitrag anzeigen
Du solltest keine neuen Scans machen, sondern vorhandene Logs posten.
Dann bitte ich um Entschuldigung. Ich habe keine anderen Logs.


Alt 30.12.2018, 19:29   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



also hast du Malwarebytes und adwCleaner das erste mal ausgeführt?
__________________
--> Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?

Alt 30.12.2018, 23:19   #7
CGH
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



Ja genau. Die Programme habe ich dafür neu runtergeladen.

Alt 31.12.2018, 04:13   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!




adwCleaner v7.x

Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • Tracing Schlüssel löschen
    • Prefetch-Dateien löschen
    • Proxy wiederherstellen
    • IE-Policies wiederherstellen
    • Chrome-Policies wiederherstellen
    • Winsock wiederherstellen
  • Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
  • Klicke nun auf Bereinigen & Reparieren und bestätige mit Jetzt bereinigen.
  • WICHTIG:
    Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Jetzt bereinigen.
  • Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
  • Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 31.12.2018, 11:17   #9
CGH
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



ADW:
Code:
ATTFilter
# -------------------------------
# Malwarebytes AdwCleaner 7.2.6.0
# -------------------------------
# Build:    12-18-2018
# Database: 2018-12-17.4 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    12-31-2018
# Duration: 00:00:02
# OS:       Windows 8.1 Pro
# Cleaned:  0
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Prefetch
[+] Delete Tracing Keys
[+] Reset Chromium Policies
[+] Reset IE Policies
[+] Reset Proxy Settings
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [2851 octets] - [30/12/2018 18:13:12]
AdwCleaner[C00].txt - [2844 octets] - [30/12/2018 18:14:40]
AdwCleaner[S01].txt - [1372 octets] - [31/12/2018 11:09:44]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########
         

Alt 31.12.2018, 16:58   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



da muss einiges an altem Müll runter:

Lade Dir bitte von hier Revo Uninstaller Download Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.
  • Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
  • Klicke auf Optionen und wähle als Sprache Deutsch.
  • Suche im Uninstallerfeld nach den Programmen:

    7-Zip 9.20 (x64 edition)
    Adobe Flash Player 27 NPAPI
    Foxit Reader
    Java 8 Update 40

  • Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
  • Wähle anschließend den Modus "Moderat" aus.
  • Reste löschen:
    Klicke auf dann auf und dann auf .

 

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.01.2019, 18:35   #11
CGH
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



Die besagten Dateien samt "Überbleibseln", die die Uninstaller nicht entfernen konnten, sind gelöscht.

Was ist denn am Foxit Reader und an 7-Zip schlecht?
Die Programme hatte ich meiner Schwiegermutter nämlich installiert, in der Hoffnung, damit ressourcenschonende Alternativen zu den üblichen Programmen zu haben.



PS: Vielen Dank schonmal für deine geduldige Hilfe!!!

Alt 02.01.2019, 09:49   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



Meinen Beitrag nicht richtig gelesen? Ich schrieb doch, dass die da alten Müll deinstallieren solltest. Es stand nirgends, dass 7zip grundsätzlich schlecht sei.


Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 02.01.2019, 18:40   #13
CGH
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



Also kann ich ohne schlechtes Gewissen die beiden Programme 7Zip und Foxit-Reader wieder installieren?

Hier der FRST-Log:
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 01.01.2019
durchgeführt von Petra (Administrator) auf PETRA-PC (02-01-2019 18:27:20)
Gestartet von C:\Users\Petra\Desktop
Geladene Profile: Petra (Verfügbare Profile: Petra)
Platform: Windows 8.1 Pro (Update) (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Lenovo.) C:\Windows\System32\ibmpmsvc.exe
(Broadcom Corporation.) C:\Program Files\Lenovo\Bluetooth Software\btwdins.exe
(Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
(HP Inc.) C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe
(Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
(Microsoft Corporation) C:\Windows\System32\SkyDrive.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Broadcom Corporation.) C:\Program Files\Lenovo\Bluetooth Software\BTTray.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
(Vimicro) C:\Program Files (x86)\USB Camera\VM331STI.EXE
(Hewlett-Packard) C:\Program Files (x86)\HP\HP Software Update\hpwuschd2.exe
(Microsoft Corporation) C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_6.3.9600.18384_none_fa1d93c39b41b41a\TiWorker.exe
(Microsoft Corporation) C:\Windows\SysWOW64\rundll32.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM-x32\...\Run: [331BigDog] => C:\Program Files (x86)\USB Camera\VM331STI.EXE [548864 2012-08-30] (Vimicro)
HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [96056 2013-05-30] (Hewlett-Packard)
HKLM-x32\...\Run: [] => [X]
Winlogon\Notify\igfxcui: C:\WINDOWS\system32\igfxdev.dll (Intel Corporation)
HKU\S-1-5-21-4249609997-4161300745-3130974587-1001\...\Run: [Amazon Music] => C:\Users\Petra\AppData\Local\Amazon Music\Amazon Music Helper.exe [5886784 2015-05-07] ()
HKU\S-1-5-18\...\RunOnce: [panda] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda" /f
HKU\S-1-5-18\...\RunOnce: [panda_XP] => reg.exe delete "HKCU\Software\panda" /f
HKLM\Software\Microsoft\Active Setup\Installed Components: [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] -> C:\Program Files\Windows Mail\WinMail.exe [2014-10-29] (Microsoft Corporation)
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] -> C:\Program Files (x86)\Windows Mail\WinMail.exe [2014-10-29] (Microsoft Corporation)
HKLM\Software\...\Authentication\Credential Providers: [{50968FF7-10C1-4fb3-98B0-CD654D6CB97E}] -> C:\Program Files\Lenovo\Bluetooth Software\\BtwCP.dll [2013-05-28] (Broadcom Corporation.)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk [2013-11-23]
ShortcutTarget: Bluetooth.lnk -> C:\Program Files\Lenovo\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
Startup: C:\Users\Petra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tintenwarnungen überwachen - HP Deskjet 3050A J611 series.lnk [2019-01-02]
ShortcutTarget: Tintenwarnungen überwachen - HP Deskjet 3050A J611 series.lnk -> C:\Program Files\HP\HP Deskjet 3050A J611 series\Bin\HPStatusBL.dll (Hewlett-Packard Co.)
BootExecute: autocheck autochk * sdnclean64.exe
GroupPolicyScripts: Beschränkung <==== ACHTUNG
GroupPolicyScripts-x32: Beschränkung <==== ACHTUNG

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{CE092FCB-F591-4C3A-BDF6-00C3C8070872}: [DhcpNameServer] 192.168.1.1

Internet Explorer:
==================
HKU\S-1-5-21-4249609997-4161300745-3130974587-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/de-de/?ocid=iehp
BHO: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL [2013-12-19] (Microsoft Corporation)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL [2013-12-19] (Microsoft Corporation)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)

FireFox:
========
FF ProfilePath: C:\Users\Petra\AppData\Roaming\Mozilla\Firefox\Profiles\qwf5ocew.default [2019-01-01]
FF NetworkProxy: Mozilla\Firefox\Profiles\qwf5ocew.default -> type", 0
FF Extension: (URL der Filterliste) - C:\Users\Petra\AppData\Roaming\Mozilla\Firefox\Profiles\qwf5ocew.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2018-12-05]
FF SearchPlugin: C:\Users\Petra\AppData\Roaming\Mozilla\Firefox\Profiles\qwf5ocew.default\searchplugins\youtube-videosuche.xml [2013-11-23]
FF Extension: (Yahoo! Toolbar) - C:\Program Files (x86)\Mozilla Firefox\distribution\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2016-11-24] [Legacy] [ist nicht signiert]
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Keine Datei]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Keine Datei]
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation)

Chrome: 
=======
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 btwdins; C:\Program Files\Lenovo\Bluetooth Software\btwdins.exe [958680 2013-05-28] (Broadcom Corporation.)
R2 HPSupportSolutionsFrameworkService; C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe [323952 2017-09-27] (HP Inc.)
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [6347056 2018-09-19] (Malwarebytes)
S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [361824 2017-01-12] (Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [119872 2017-01-12] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 aftap0901; C:\WINDOWS\system32\DRIVERS\aftap0901.sys [48624 2017-11-16] (The OpenVPN Project)
S3 btwpanfl; C:\WINDOWS\system32\drivers\btwpanfl.sys [44912 2013-01-20] (Broadcom Corporation.)
S3 dg_ssudbus; C:\WINDOWS\system32\DRIVERS\ssudbus.sys [129152 2016-04-24] (Samsung Electronics Co., Ltd.)
R3 MBAMSwissArmy; C:\WINDOWS\System32\Drivers\mbamswissarmy.sys [261032 2019-01-01] (Malwarebytes)
S3 ssudmdm; C:\WINDOWS\system32\DRIVERS\ssudmdm.sys [221824 2016-04-24] (Samsung Electronics Co., Ltd.)
R3 vm331avs; C:\WINDOWS\System32\Drivers\vm331avs.sys [981112 2012-09-05] (Vimicro Corporation)
S3 WdBoot; C:\WINDOWS\system32\drivers\WdBoot.sys [46600 2017-02-10] (Microsoft Corporation)
R0 WdFilter; C:\WINDOWS\System32\drivers\WdFilter.sys [274776 2017-01-12] (Microsoft Corporation)
S3 WdNisDrv; C:\WINDOWS\System32\Drivers\WdNisDrv.sys [117592 2017-01-12] (Microsoft Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2019-01-02 18:27 - 2019-01-02 18:27 - 000000000 ____D C:\Users\Petra\Desktop\FRST-OlderVersion
2019-01-01 19:12 - 2019-01-01 19:12 - 000261032 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbamswissarmy.sys
2019-01-01 18:14 - 2019-01-01 13:21 - 007127416 _____ (VS Revo Group ) C:\Users\Petra\Desktop\revosetup206.exe
2019-01-01 18:12 - 2019-01-01 18:12 - 000001050 _____ C:\Users\Public\Desktop\Revo Uninstaller.lnk
2019-01-01 18:12 - 2019-01-01 18:12 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Revo Uninstaller
2019-01-01 18:12 - 2019-01-01 18:12 - 000000000 ____D C:\Program Files\VS Revo Group
2018-12-30 18:46 - 2018-12-30 18:47 - 000023636 _____ C:\Users\Petra\Desktop\Addition.txt
2018-12-30 18:44 - 2019-01-02 18:33 - 000009349 _____ C:\Users\Petra\Desktop\FRST.txt
2018-12-30 18:44 - 2019-01-02 18:27 - 000000000 ____D C:\FRST
2018-12-30 18:43 - 2019-01-02 18:27 - 002426368 _____ (Farbar) C:\Users\Petra\Desktop\FRST64.exe
2018-12-30 18:28 - 2018-12-30 18:28 - 000001883 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
2018-12-30 18:28 - 2018-12-30 18:28 - 000000000 ____D C:\Users\Petra\AppData\Local\mbamtray
2018-12-30 18:28 - 2018-12-30 18:28 - 000000000 ____D C:\Users\Petra\AppData\Local\mbam
2018-12-30 18:28 - 2018-12-30 18:28 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes
2018-12-30 18:28 - 2018-12-30 18:28 - 000000000 ____D C:\Program Files\Malwarebytes
2018-12-30 18:28 - 2018-12-04 08:09 - 000152688 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbae64.sys
2018-12-30 18:14 - 2018-12-30 18:15 - 081227760 _____ (Malwarebytes ) C:\Users\Petra\Desktop\mb3-setup-consumer-3.6.1.2711-1.0.508-1.0.8211.exe
2018-12-30 18:11 - 2018-12-30 18:13 - 007320272 _____ (Malwarebytes) C:\Users\Petra\Desktop\adwcleaner_7.2.6.0.exe
2018-12-30 18:10 - 2018-12-30 18:14 - 000000000 ____D C:\AdwCleaner
2018-12-30 16:18 - 2018-12-30 16:18 - 000000085 _____ C:\WINDOWS\wininit.ini
2018-12-30 16:18 - 2018-12-30 16:18 - 000000000 ____D C:\WINDOWS\System32\Tasks\Safer-Networking
2018-12-30 16:07 - 2018-12-30 16:07 - 000000000 ____D C:\Users\Petra\Documents\Dateien Downloadordner
2018-12-30 16:00 - 2018-12-30 16:01 - 000000000 ____D C:\Users\Petra\Documents\Dateien Desktop

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2019-01-02 18:33 - 2012-07-26 08:59 - 000000000 ____D C:\WINDOWS\CbsTemp
2019-01-02 18:27 - 2016-11-24 11:55 - 000000000 ____D C:\Users\Petra\AppData\LocalLow\Mozilla
2019-01-02 18:26 - 2014-01-02 14:50 - 000000000 __RDO C:\Users\Petra\SkyDrive
2019-01-01 19:23 - 2013-11-23 07:41 - 000003600 _____ C:\WINDOWS\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-4249609997-4161300745-3130974587-1001
2019-01-01 19:18 - 2013-09-30 05:14 - 001769264 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2019-01-01 19:18 - 2013-09-30 04:56 - 000759378 _____ C:\WINDOWS\system32\perfh007.dat
2019-01-01 19:18 - 2013-09-30 04:56 - 000156604 _____ C:\WINDOWS\system32\perfc007.dat
2019-01-01 19:18 - 2013-08-22 14:36 - 000000000 ____D C:\WINDOWS\Inf
2019-01-01 19:12 - 2013-08-22 15:45 - 000000006 ____H C:\WINDOWS\Tasks\SA.DAT
2019-01-01 19:10 - 2013-08-22 14:25 - 000000167 _____ C:\WINDOWS\win.ini
2019-01-01 18:34 - 2014-11-29 19:45 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2019-01-01 18:30 - 2015-12-26 16:30 - 000000000 ____D C:\Users\Petra\AppData\Roaming\Foxit Software
2019-01-01 18:22 - 2013-08-22 16:36 - 000000000 ____D C:\WINDOWS\system32\Macromed
2019-01-01 18:17 - 2013-08-22 16:36 - 000000000 ____D C:\WINDOWS\SysWOW64\Macromed
2018-12-30 18:28 - 2015-06-15 13:41 - 000000000 ____D C:\ProgramData\Malwarebytes
2018-12-30 18:15 - 2015-06-15 14:36 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2018-12-30 18:14 - 2017-06-05 11:53 - 000000000 ____D C:\Program Files (x86)\iolo
2018-12-30 16:19 - 2017-06-05 11:53 - 000000000 ____D C:\ProgramData\iolo
2018-12-30 16:18 - 2015-06-15 14:36 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2018-12-30 16:15 - 2015-06-15 13:33 - 000000000 ____D C:\Program Files (x86)\Panda Security
2018-12-30 16:15 - 2013-08-22 15:44 - 000485800 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2018-12-30 16:14 - 2013-08-22 14:25 - 000524288 ___SH C:\WINDOWS\system32\config\BBI
2018-12-30 16:12 - 2015-06-15 13:36 - 000000000 ____D C:\Users\Petra\AppData\Roaming\Panda Security
2018-12-30 16:12 - 2015-06-15 13:23 - 000000000 ____D C:\ProgramData\Panda Security
2018-12-30 16:06 - 2014-07-02 11:28 - 000003930 _____ C:\WINDOWS\System32\Tasks\User_Feed_Synchronization-{B4D76D66-3678-485D-85B9-1AE6EE7947C0}
2018-12-27 10:13 - 2016-11-24 11:47 - 000000000 ____D C:\Program Files (x86)\Mozilla Firefox
2018-12-27 10:13 - 2013-11-23 11:52 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2018-12-19 16:49 - 2013-11-23 11:52 - 000001175 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk

Einige Dateien in TEMP:
====================
2014-11-30 12:34 - 2015-06-15 14:56 - 000000000 ____D () C:\Users\Petra\AppData\Local\Temp\avgnt.exe
2019-01-01 18:29 - 2015-09-28 10:45 - 004990656 _____ (Foxit Corporation) C:\Users\Petra\AppData\Local\Temp\FoxitUpdater.exe

==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\WINDOWS\system32\winlogon.exe => Datei ist digital signiert
C:\WINDOWS\system32\wininit.exe => Datei ist digital signiert
C:\WINDOWS\explorer.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\explorer.exe => Datei ist digital signiert
C:\WINDOWS\system32\svchost.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\svchost.exe => Datei ist digital signiert
C:\WINDOWS\system32\services.exe => Datei ist digital signiert
C:\WINDOWS\system32\User32.dll => Datei ist digital signiert
C:\WINDOWS\SysWOW64\User32.dll => Datei ist digital signiert
C:\WINDOWS\system32\userinit.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\userinit.exe => Datei ist digital signiert
C:\WINDOWS\system32\rpcss.dll => Datei ist digital signiert
C:\WINDOWS\system32\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\system32\Drivers\volsnap.sys => Datei ist digital signiert

LastRegBack: 2017-11-14 14:32

==================== Ende von FRST.txt ============================
         
Und Addition:
Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 01.01.2019
durchgeführt von Petra (02-01-2019 18:34:31)
Gestartet von C:\Users\Petra\Desktop
Windows 8.1 Pro (Update) (X64) (2013-11-23 19:02:47)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-4249609997-4161300745-3130974587-500 - Administrator - Disabled)
Gast (S-1-5-21-4249609997-4161300745-3130974587-501 - Limited - Disabled)
Petra (S-1-5-21-4249609997-4161300745-3130974587-1001 - Administrator - Enabled) => C:\Users\Petra

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)


==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Amazon Music (HKU\S-1-5-21-4249609997-4161300745-3130974587-1001\...\Amazon Amazon Music) (Version: 3.9.5.820 - Amazon Services LLC)
Broadcom 802.11 Network Adapter (HKLM\...\Broadcom 802.11 Network Adapter) (Version: 6.30.59.151 - Broadcom Corporation)
calibre (HKLM-x32\...\{3000D354-D0BB-4FF3-89F9-04B6E9DD51BA}) (Version: 2.47.0 - Kovid Goyal)
HP Deskjet 3050A J611 series - Grundlegende Software für das Gerät (HKLM\...\{61ADDE9C-3AE6-46FC-9127-DFFF637AED03}) (Version: 28.0.1315.0 - Hewlett-Packard Co.)
HP Deskjet 3050A J611 series Hilfe (HKLM-x32\...\{97DDCAB8-B770-4089-A10F-67568069D78A}) (Version: 140.0.2.2 - Hewlett Packard)
HP Photo Creations (HKLM-x32\...\HP Photo Creations) (Version: 1.0.0.7702 - HP)
HP Support Solutions Framework (HKLM-x32\...\{A38E954F-9043-42BD-9DE9-246ED183791D}) (Version: 12.8.37.11 - HP)
HP Update (HKLM-x32\...\{912D30CF-F39E-4B31-AD9A-123C6B794EE2}) (Version: 5.005.002.002 - Hewlett-Packard)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.17.10.2932 - Intel Corporation)
Lenovo Bluetooth with Enhanced Data Rate Software (HKLM\...\{C6D9ED03-6FCF-4410-9CB7-45CA285F9E11}) (Version: 12.0.0.7000 - Broadcom Corporation)
Lenovo Power Management Driver (HKLM\...\Power Management Driver) (Version: 1.67.03.13 - )
Malwarebytes Version 3.6.1.2711 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.6.1.2711 - Malwarebytes)
Microsoft Office Professional Plus 2010 (HKLM-x32\...\Office14.PROPLUS) (Version: 14.0.7015.1000 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64)) (Version: 10.0.50903 - Microsoft Corporation)
Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x64) Language Pack - DEU (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64) Language Pack - DEU) (Version: 10.0.50903 - Microsoft Corporation)
Mozilla Firefox 64.0 (x86 de) (HKLM-x32\...\Mozilla Firefox 64.0 (x86 de)) (Version: 64.0 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 64.0.0.6914 - Mozilla)
Revo Uninstaller 2.0.6 (HKLM\...\{A28DBDA2-3CC7-4ADC-8BFE-66D7743C6C97}_is1) (Version: 2.0.6 - VS Revo Group, Ltd.)
Service Pack 2 for Microsoft Office 2010 (KB2687455) 32-Bit Edition (HKLM-x32\...\{90140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUS_{DE28B448-32E8-4E8F-84F0-A52B21A49B5B}) (Version:  - Microsoft)
Studie zur Verbesserung von HP Deskjet 3050A J611 series Produkten (HKLM\...\{EF27865C-E636-47C4-8B35-CE8A88045681}) (Version: 28.0.1315.0 - Hewlett-Packard Co.)
Visual Studio 2012 x64 Redistributables (HKLM\...\{8C775E70-A791-4DA8-BCC3-6AB7136F4484}) (Version: 14.0.0.1 - AVG Technologies)
Visual Studio 2012 x86 Redistributables (HKLM-x32\...\{98EFF19A-30AB-4E4B-B943-F06B1C63EBF8}) (Version: 14.0.0.1 - AVG Technologies CZ, s.r.o.)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2018-09-19] (Malwarebytes)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\WINDOWS\system32\igfxpph.dll [2013-10-03] (Intel Corporation)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2018-09-19] (Malwarebytes)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {3333CB75-7443-4065-9046-966A94BB9801} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Report => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSFReport.exe [2017-06-22] (HP Inc.)
Task: {701B1071-3910-4FD5-A04C-56922A508580} - kein Dateipfad
Task: {9CBB01EA-C679-4F12-B248-B0878D5F8A98} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe [2017-09-20] (HP Inc.)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)


==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2013-05-28 16:55 - 2013-05-28 16:55 - 000049368 _____ () C:\Program Files\Lenovo\Bluetooth Software\btwleapi.dll
2018-12-30 18:28 - 2018-11-15 11:01 - 002712432 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\SelfProtectionSdk.dll
2018-11-20 04:46 - 2018-11-20 04:46 - 004310296 _____ () C:\Program Files\Common Files\microsoft shared\OFFICE14\Cultures\OFFICE.ODF
2013-10-03 23:42 - 2013-10-03 23:42 - 000094208 _____ () C:\Windows\System32\IccLibDll_x64.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2013-08-22 14:25 - 2013-08-22 14:25 - 000000824 _____ C:\WINDOWS\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path: C:\Program Files\Broadcom\Broadcom 802.11 Network Adapter\Driver;;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files\Lenovo\Bluetooth Software\;C:\Program Files\Lenovo\Bluetooth Software\syswow64;C:\Program Files (x86)\Calibre2\
HKU\S-1-5-21-4249609997-4161300745-3130974587-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Petra\AppData\Local\Microsoft\Windows\Themes\RoamedThemeFiles\DesktopBackground\img8.jpg
DNS Servers: 192.168.1.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: RequireAdmin)
HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (Keine Datei)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.

HKU\S-1-5-21-4249609997-4161300745-3130974587-1001\...\StartupApproved\Run: => "Amazon Music"

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{6FB77CDC-3EC6-4BD0-A3C5-BF3EC375CEA7}] => (Allow) C:\Program Files (x86)\AVG\AVG2014\avgmfapx.exe Keine Datei
FirewallRules: [{7E41CA2A-A39F-4571-9729-47C15EBD0867}] => (Allow) C:\Program Files (x86)\AVG\AVG2014\avgmfapx.exe Keine Datei
FirewallRules: [TCP Query User{0F92C336-99D8-49DB-9498-F93DB07DAA50}C:\users\petra\appdata\local\temp\ae1f.tmp\kmservice.exe] => (Allow) C:\users\petra\appdata\local\temp\ae1f.tmp\kmservice.exe Keine Datei
FirewallRules: [UDP Query User{320666BB-B8DD-48B3-8F61-DB51F60E07DA}C:\users\petra\appdata\local\temp\ae1f.tmp\kmservice.exe] => (Allow) C:\users\petra\appdata\local\temp\ae1f.tmp\kmservice.exe Keine Datei
FirewallRules: [{1426B371-49AA-4610-ADD9-E0002F224820}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
FirewallRules: [{DE8ABA31-0621-4E52-992E-68DFD4249504}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
FirewallRules: [TCP Query User{31D11B3D-0F09-47B5-817E-09BD98515EA0}C:\program files (x86)\mozilla firefox\firefox.exe] => (Block) C:\program files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation)
FirewallRules: [UDP Query User{B754F943-0F79-49F0-80B5-58A2A7703FA6}C:\program files (x86)\mozilla firefox\firefox.exe] => (Block) C:\program files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation)
FirewallRules: [{5E942706-D257-4D88-B8B0-87556A213967}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
FirewallRules: [{2AB8C30C-7CE0-4AAE-B34F-318FE3A5F28A}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
FirewallRules: [{74C8DB3C-B1CA-43F2-A9D6-9C4DB1B9C1F7}] => (Allow) C:\Users\Petra\AppData\Local\Temp\7zS04E3\HPDiagnosticCoreUI.exe Keine Datei
FirewallRules: [{7E2D34AD-DD72-427B-B0A5-E9C4A3DEDFC6}] => (Allow) C:\Users\Petra\AppData\Local\Temp\7zS04E3\HPDiagnosticCoreUI.exe Keine Datei
FirewallRules: [{BBF6D1BA-67D3-4F11-B4C0-792A32270110}] => (Allow) C:\Program Files\HP\HP Deskjet 3050A J611 series\Bin\DeviceSetup.exe (Hewlett-Packard Co.)
FirewallRules: [{1173B32D-1E6B-41DF-9A79-002439F57DBD}] => (Allow) C:\Program Files\HP\HP Deskjet 3050A J611 series\Bin\HPNetworkCommunicator.exe (Hewlett-Packard Co.)
FirewallRules: [{44D486A9-4506-4CE7-BA1E-80B999327EC9}] => (Allow) C:\Program Files\HP\HP Deskjet 3050A J611 series\Bin\HPNetworkCommunicatorCom.exe (Hewlett-Packard Co.)
FirewallRules: [{24568709-1067-4BA3-99AE-C283455336D3}] => (Allow) C:\Users\Petra\AppData\Local\Temp\7zS6339\HPDiagnosticCoreUI.exe Keine Datei
FirewallRules: [{2839A1F8-C101-4FB0-955F-2CC0BD4C4E6A}] => (Allow) C:\Users\Petra\AppData\Local\Temp\7zS6339\HPDiagnosticCoreUI.exe Keine Datei

==================== Wiederherstellungspunkte =========================

30-09-2018 14:43:07 Windows Update
26-10-2018 13:04:31 Windows Update
30-10-2018 09:44:33 Windows Update
06-11-2018 12:27:38 Windows Update
22-11-2018 07:38:22 Windows Update
28-11-2018 10:42:32 Windows Update
01-12-2018 16:27:58 Windows Update
18-12-2018 16:46:26 Windows Update
22-12-2018 11:20:55 Windows Update
01-01-2019 18:14:47 Revo Uninstaller's restore point - Adobe Flash Player 27 NPAPI
01-01-2019 18:15:49 Revo Uninstaller's restore point - Adobe Flash Player 27 NPAPI
01-01-2019 18:17:05 Revo Uninstaller's restore point - Adobe Flash Player 27 NPAPI
01-01-2019 18:26:24 Revo Uninstaller's restore point - 7-Zip 9.20 (x64 edition)
01-01-2019 18:28:59 Revo Uninstaller's restore point - Foxit Reader
01-01-2019 18:33:50 Revo Uninstaller's restore point - Java 8 Update 40
01-01-2019 18:34:05 Removed Java 8 Update 40

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (01/01/2019 06:14:38 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.


Vorgang:
   Generatordaten werden gesammelt

Kontext:
   Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
   Generatorname: System Writer
   Generatorinstanz-ID: {ecf07a43-2342-4c63-8086-e04c53103751}

Error: (12/19/2018 04:39:53 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: PSExpCampaign.exe, Version: 4.0.0.4, Zeitstempel: 0x591abb53
Name des fehlerhaften Moduls: PSExpCampaign.exe, Version: 4.0.0.4, Zeitstempel: 0x591abb53
Ausnahmecode: 0xc0000409
Fehleroffset: 0x00052723
ID des fehlerhaften Prozesses: 0xa00
Startzeit der fehlerhaften Anwendung: 0x01d497b10cab2d87
Pfad der fehlerhaften Anwendung: C:\ProgramData\Panda Security\Panda Devices Agent\Downloads\6569f4a17eccbb65f73cd1b414ee6f22\PSExpCampaign.exe
Pfad des fehlerhaften Moduls: C:\ProgramData\Panda Security\Panda Devices Agent\Downloads\6569f4a17eccbb65f73cd1b414ee6f22\PSExpCampaign.exe
Berichtskennung: 53b92930-03a4-11e9-82e2-3c970ec086ab
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (12/18/2018 05:09:18 PM) (Source: Winlogon) (EventID: 4005) (User: )
Description: Der Windows-Anmeldeprozess wurde unerwartet beendet.

Error: (12/09/2018 04:02:54 PM) (Source: Desktop Window Manager) (EventID: 9020) (User: )
Description: Der Desktopfenster-Manager hat einen schwerwiegenden Fehler (0x8898008d) festgestellt.

Error: (11/28/2018 11:03:48 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: PSExpCampaign.exe, Version: 4.0.0.4, Zeitstempel: 0x591abb53
Name des fehlerhaften Moduls: PSExpCampaign.exe, Version: 4.0.0.4, Zeitstempel: 0x591abb53
Ausnahmecode: 0xc0000409
Fehleroffset: 0x00052723
ID des fehlerhaften Prozesses: 0xa50
Startzeit der fehlerhaften Anwendung: 0x01d487018de6ffa7
Pfad der fehlerhaften Anwendung: C:\ProgramData\Panda Security\Panda Devices Agent\Downloads\6569f4a17eccbb65f73cd1b414ee6f22\PSExpCampaign.exe
Pfad des fehlerhaften Moduls: C:\ProgramData\Panda Security\Panda Devices Agent\Downloads\6569f4a17eccbb65f73cd1b414ee6f22\PSExpCampaign.exe
Berichtskennung: e59eb911-f2f4-11e8-82e1-3c970ec086ab
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (11/25/2018 11:32:52 AM) (Source: Winlogon) (EventID: 4005) (User: )
Description: Der Windows-Anmeldeprozess wurde unerwartet beendet.

Error: (11/23/2018 11:49:19 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: PSExpCampaign.exe, Version: 4.0.0.4, Zeitstempel: 0x591abb53
Name des fehlerhaften Moduls: PSExpCampaign.exe, Version: 4.0.0.4, Zeitstempel: 0x591abb53
Ausnahmecode: 0xc0000409
Fehleroffset: 0x00052723
ID des fehlerhaften Prozesses: 0x1194
Startzeit der fehlerhaften Anwendung: 0x01d4831a24269c03
Pfad der fehlerhaften Anwendung: C:\ProgramData\Panda Security\Panda Devices Agent\Downloads\6569f4a17eccbb65f73cd1b414ee6f22\PSExpCampaign.exe
Pfad des fehlerhaften Moduls: C:\ProgramData\Panda Security\Panda Devices Agent\Downloads\6569f4a17eccbb65f73cd1b414ee6f22\PSExpCampaign.exe
Berichtskennung: 6dabfba1-ef0d-11e8-82e1-3c970ec086ab
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (11/22/2018 07:53:24 AM) (Source: Windows Search Service) (EventID: 3007) (User: )
Description: Die Leistungsüberwachung für den Gatherer-Dienst kann nicht initialisiert werden, da die Datenquellen nicht geladen sind oder das freigegebene Speicherobjekt nicht geöffnet werden konnte. Dies beeinträchtigt lediglich die Verfügbarkeit der Leistungsindikatoren. Starten Sie den Computer erneut.

Kontext:  Anwendung, SystemIndex Katalog


Systemfehler:
=============
Error: (01/01/2019 07:12:45 PM) (Source: Microsoft-Windows-TaskScheduler) (EventID: 413) (User: NT-AUTORITÄT)
Description: Beim Start des Aufgabenplanungsdiensts konnten Aufgaben nicht geladen werden. Zusätzliche Daten: Fehlerwert: 2147942402.

Error: (01/01/2019 07:10:57 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT-AUTORITÄT)
Description: Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x80246013 fehlgeschlagen: Microsoft .NET Framework 4.7.2 für Windows 8.1 für x64 (KB4054566)

Error: (01/01/2019 07:10:03 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT-AUTORITÄT)
Description: Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x80246013 fehlgeschlagen: Update für Adobe Flash Player unter Windows 8.1 für x64-basierte Systeme (KB4462930)

Error: (12/31/2018 11:11:20 AM) (Source: Microsoft-Windows-TaskScheduler) (EventID: 413) (User: NT-AUTORITÄT)
Description: Beim Start des Aufgabenplanungsdiensts konnten Aufgaben nicht geladen werden. Zusätzliche Daten: Fehlerwert: 2147942402.

Error: (12/31/2018 11:10:11 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Bluetooth Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (12/31/2018 11:10:11 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Modules Installer" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (12/31/2018 11:06:55 AM) (Source: disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.

Error: (12/31/2018 12:17:27 AM) (Source: disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.


Windows Defender:
===================================
Date: 2015-07-13 12:21:46.353
Description: 
Fehler von Windows Defender beim Aktualisieren von Signaturen.
Neue Signaturversion: 
Vorherige Signaturversion: 
Updatequelle: Benutzer
Signaturtyp: 
Updatetyp: 
Benutzer: NT-AUTORITÄT\Netzwerkdienst
Aktuelle Modulversion: 
Vorherige Modulversion: 
Fehlercode: 0x80070652
Fehlerbeschreibung: Es wird bereits anderweitig eine Installation ausgeführt. Beenden Sie den anderen Installationsvorgang, bevor Sie diese Installation fortsetzen. 

Date: 2015-07-13 12:21:36.243
Description: 
Fehler von Windows Defender beim Aktualisieren von Signaturen.
Neue Signaturversion: 
Vorherige Signaturversion: 1.201.1555.0
Updatequelle: Microsoft Center zum Schutz vor Schadsoftware
Signaturtyp: AntiSpyware
Updatetyp: Voll
Benutzer: NT-AUTORITÄT\Netzwerkdienst
Aktuelle Modulversion: 
Vorherige Modulversion: 1.1.11804.0
Fehlercode: 0x80070652
Fehlerbeschreibung: Es wird bereits anderweitig eine Installation ausgeführt. Beenden Sie den anderen Installationsvorgang, bevor Sie diese Installation fortsetzen. 

Date: 2015-07-13 12:21:36.243
Description: 
Fehler von Windows Defender beim Aktualisieren von Signaturen.
Neue Signaturversion: 
Vorherige Signaturversion: 1.201.1555.0
Updatequelle: Microsoft Center zum Schutz vor Schadsoftware
Signaturtyp: AntiVirus
Updatetyp: Voll
Benutzer: NT-AUTORITÄT\Netzwerkdienst
Aktuelle Modulversion: 
Vorherige Modulversion: 1.1.11804.0
Fehlercode: 0x80070652
Fehlerbeschreibung: Es wird bereits anderweitig eine Installation ausgeführt. Beenden Sie den anderen Installationsvorgang, bevor Sie diese Installation fortsetzen. 

Date: 2015-07-13 12:21:26.040
Description: 
Fehler von Windows Defender beim Aktualisieren von Signaturen.
Neue Signaturversion: 
Vorherige Signaturversion: 
Updatequelle: Benutzer
Signaturtyp: 
Updatetyp: 
Benutzer: NT-AUTORITÄT\Netzwerkdienst
Aktuelle Modulversion: 
Vorherige Modulversion: 
Fehlercode: 0x80070652
Fehlerbeschreibung: Es wird bereits anderweitig eine Installation ausgeführt. Beenden Sie den anderen Installationsvorgang, bevor Sie diese Installation fortsetzen. 

Date: 2015-07-13 12:20:46.921
Description: 
Fehler von Windows Defender beim Aktualisieren von Signaturen.
Neue Signaturversion: 
Vorherige Signaturversion: 1.201.1555.0
Updatequelle: Microsoft Update-Server
Signaturtyp: AntiVirus
Updatetyp: Voll
Benutzer: NT-AUTORITÄT\SYSTEM
Aktuelle Modulversion: 
Vorherige Modulversion: 1.1.11804.0
Fehlercode: 0x80240016
Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates. Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie unter "Hilfe und Support". 

==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Pentium(R) CPU 2020M @ 2.40GHz
Prozentuale Nutzung des RAM: 80%
Installierter physikalischer RAM: 1627.14 MB
Verfügbarer physikalischer RAM: 314.98 MB
Summe virtueller Speicher: 3035.14 MB
Verfügbarer virtueller Speicher: 1497.17 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:297.09 GB) (Free:237.31 GB) NTFS

\\?\Volume{bfc32807-5408-11e3-be65-806e6f6e6963}\ (LENOVO_DOS) (Fixed) (Total:1 GB) (Free:0.98 GB) FAT32

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 298.1 GB) (Disk ID: 04AD19DE)
Partition 1: (Active) - (Size=1 GB) - (Type=0B)
Partition 2: (Not Active) - (Size=297.1 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================
         

Alt 03.01.2019, 09:11   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:


1. Schritt: Malwarebytes Version 3

Downloade Dir bitte Malwarebytes Anti-Malware 3
  • Installiere das Programm in den vorgegebenen Pfad.
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM nach dem Neustart, klicke auf Berichte.
  • Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
  • Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.



2. Schritt: ESET

Downloade Dir bitte ESET Online Scanner (Bebilderte Anleitung)
  • Starte die Installationsdatei.
  • Akzeptiere die Nutzungsbedingungen.
  • Wähle Erkennung evtl. unerwünschter Anwendungen aktivieren aus und klicke auf Scannen.
  • Zuerst werden die notwendigen Signaturen heruntergeladen, anschließend startet ESET automatisch den Suchlauf.
  • Am Ende des Suchlaufs werden gegebenenfalls die gefundenen Elemente aufgelistet.
  • Schließe den ESET Online Scanner rechts oben [ X ] und klicke anschließend auf Schließen.
  • Drücke bitte die Tastenkombination WIN+R zum Ausführen und kopiere folgenden Text in die Zeile und drücke im Anschluss auf OK:
    Code:
    ATTFilter
    notepad "%tmp%\log.txt"
             
  • Kopiere den gesamten Text mittels STRG+A und STRG+C hier in deine Antwort in CODE-Tags



3. Schritt: SecurityCheck

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.01.2019, 22:24   #15
CGH
 
Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Standard

Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?



MBAM
Code:
ATTFilter
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 03.01.19
Scan-Zeit: 19:23
Protokolldatei: a0f00b80-0f84-11e9-b5f1-3c970ec086ab.json

-Softwaredaten-
Version: 3.6.1.2711
Komponentenversion: 1.0.508
Version des Aktualisierungspakets: 1.0.8613
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: PETRA-PC\Petra

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 267116
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 10 Min., 23 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         
ESET
Code:
ATTFilter
19:35:28 # product=EOS
# version=8
# esetonlinescanner_deu.exe=3.0.17.0
# country="Germany"
# lang=1031
19:37:18 Updating
19:37:18 Update Init
19:37:20 Update Download
19:40:43 esets_scanner_reload returned 0
19:40:43 g_uiModuleBuild: 39929
19:40:43 Update Finalize
19:40:44 Call m_esets_charon_send
19:40:44 Call m_esets_charon_destroy
19:40:44 Updated modules version: 39929
19:40:59 Call m_esets_charon_setup_create
19:40:59 Call m_esets_charon_create
19:41:00 m_esets_charon_create OK
19:41:00 Call m_esets_charon_start_send_thread
19:41:00 Call m_esets_charon_setup_set
19:41:00 m_esets_charon_setup_set OK
19:41:00 Scanner engine: 39929
22:05:55 # product=EOS
# version=8
# flags=0
# av=0
# fw=7
# admin=1
# esetonlinescanner_deu.exe=3.0.17.0
# EOSSerial=9a0db6a74a79c241bec10c3a7d72597a
# engine=39929
# end=finished
# bannerClicked=0
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# sfx_checked=true
# utc_time=2019-01-03 21:05:55
# local_time=2019-01-03 22:05:55 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.3.9600 NT 
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 53607648 112486499 0 0
# scanned=288426
# found=3
# cleaned=3
# scan_time=8454
# flow=2019-01-03 19:35:51|scr|eula|2019-01-03 19:35:56|scr|welcome|2019-01-03 19:35:58|promo|eis|2019-01-03 19:36:05|scr|consents|2019-01-03 19:36:41|scr|scan_type|2019-01-03 19:36:59|scr|custom_target|2019-01-03 19:37:02|scr|scan_type|2019-01-03 19:37:04|scr|pua|2019-01-03 19:37:18|scr|updating|2019-01-03 19:40:45|scr|scanning|2019-01-03 22:01:42|scr|all_cleaned|2019-01-03 22:03:49|click|save_report|2019-01-03 22:04:34|scr|report_cleaned|2019-01-03 22:04:37|click|resolved_detections|2019-01-03 22:05:52|scr|periodic_offer
# periodic=0,0
# stats_enabled=0
# scan_type=2
sh=87C5C33DFB3B63081453629859DFB91061712957 ft=1 fh=0000000000016988 vn="Variante von Win32/Bundled.Toolbar.Ask.O potenziell unsichere Anwendung (Gesäubert durch Löschen)" ac=C fn="C:\Windows\Installer\MSI5532.tmp"
sh=44902DFC96A8D337ED3853198B75E42B34899FAB ft=1 fh=0000000000016d98 vn="Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung (Gesäubert durch Löschen)" ac=C fn="C:\Windows\Installer\MSIE4A0.tmp"
sh=18E80E5D87209EBA28B87864F24CA2B6B5D58A6C ft=1 fh=0000000000016988 vn="Variante von Win32/Bundled.Toolbar.Ask.O potenziell unsichere Anwendung (Gesäubert durch Löschen)" ac=C fn="C:\Windows\Installer\MSIF342.tmp"
22:05:58 Call m_esets_charon_send
22:05:58 Call m_esets_charon_destroy
         
CHECKUP
Code:
ATTFilter
 Results of screen317's Security Check version 1.009  
   x64 (UAC is enabled)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:`````````````` 
Malwarebytes   
 Antivirus up to date!  
`````````Anti-malware/Other Utilities Check:````````` 
 Mozilla Firefox (64.0) 
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamtray.exe  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  % 
````````````````````End of Log``````````````````````
         

Antwort

Themen zu Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?
aktiv, anleitung, ellung, gehackt, keylogger, laptop, leitung, schließe, schwiegermutter, weihnachten, würde



Ähnliche Themen: Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?


  1. Spam-Mails über Telekom verschickt und Amazon Konto betroffen
    Log-Analyse und Auswertung - 30.12.2018 (9)
  2. Amazon Konto gehackt, Passwort geändert
    Log-Analyse und Auswertung - 16.12.2017 (4)
  3. Amazon Konto gehackt
    Plagegeister aller Art und deren Bekämpfung - 17.05.2017 (26)
  4. Fake Mail von Amazon---Transaktionscode xyz Konto gesperrt
    Plagegeister aller Art und deren Bekämpfung - 26.08.2016 (2)
  5. Windows 10: Amazon Konto gehackt, kann keine Schadsoftware finden
    Log-Analyse und Auswertung - 30.04.2016 (1)
  6. Amazon Konto gehackt, Schädlinge PUP.OPTIONAL.MetacrawlerBAR.A + PUP.OPTIONAL.Crossrider.A gefunden
    Log-Analyse und Auswertung - 16.07.2015 (13)
  7. dhl trojaner- Vista - gewerblich - war schon aktiv
    Log-Analyse und Auswertung - 23.03.2015 (9)
  8. Amazon-Konto: Jemand hat mein Passwort geändert & Gutscheine bestellt
    Alles rund um Mac OSX & Linux - 12.01.2015 (5)
  9. Amazon-Konto geknackt
    Log-Analyse und Auswertung - 17.10.2013 (19)
  10. Tojaner/keylogger in gefälschter AMAZON-E-Mail?
    Log-Analyse und Auswertung - 18.04.2013 (1)
  11. Amazon-Konto gehackt! Ist mein PC infiziert?
    Log-Analyse und Auswertung - 10.04.2013 (1)
  12. Amazon - Keylogger
    Alles rund um Windows - 06.04.2013 (1)
  13. Amazon + E-mail account gehackt
    Log-Analyse und Auswertung - 26.02.2013 (13)
  14. Amazon-Konto gehackt, Passwort geändert
    Log-Analyse und Auswertung - 02.11.2012 (12)
  15. Amazon Account gehackt. Trojaner?
    Log-Analyse und Auswertung - 16.10.2011 (1)
  16. Mailaccount und Amazon gehackt
    Log-Analyse und Auswertung - 02.09.2011 (1)
  17. Amazon Account gehackt + E-mail gehackt !
    Plagegeister aller Art und deren Bekämpfung - 05.05.2008 (16)

Zum Thema Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? - Ich habe an Weihnachten den Laptop meiner Schwiegermutter mit nach Hause bekommen. Im Vorfeld wurde zum zweiten Mal ihr Amzon-Konto gehackt und eine Bestellung getätigt. Zwischen der ersten und der - Schon 2x das Amazon-Konto gehackt - Keylogger aktiv?...
Archiv
Du betrachtest: Schon 2x das Amazon-Konto gehackt - Keylogger aktiv? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.