Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Mülltonne

Mülltonne: Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner

Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne...

 
Alt 21.11.2020, 13:38   #1
Stitches
 
Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner - Standard

Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner



Guten Tag,

ich habe seit einem Jahr massive Probleme nach einem Hack, habe Windows schon unzählige Male per Clean Install neu installiert, leider hat nichts geholfen.

Scheinbar ist das Mainboard betroffen, die Grafikkarte, gefühlt alles.
Es liegen gefälschte Zertifikate vor, Trojaner, Maleware, DNS Routing, scheinbar alles.

Windows Updates werden jedes Mal neu angezeigt, ab und zu funktionieren sie.

Es sind verschiedene Partitionen vorhanden die ich nicht löschen kann, Viren werden oft angezeigt, und ich bekomme scheinbar ein falsches Routing.

Es kann auch sein das die Ethernet-Adapter betroffen sind.

Mein Handy ist auch betroffen, dort sind auch falsche Zertifikate vorhanden, diese gleichen sich mit diesen hier.
Damals als das System/Netzwerk infiziert wurde, gingen mir 1 Laptop sowie 2 Handys kaputt.
Scheinbar wird hier mit Powershell Scripten gearbeitet, ich habe oft keine Erlaubnis Dateien zu öffnen und es wurden schon mehrmals dubiose Nutzer mit erhöhten Rechten mir übergeordnet.
Bis zum letzten Clean Install habe ich Bitdefender Total Security genutzt, nichts hat geholfen.

Viele Grüße und schon mal Dankeschön



Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 21-11-2020
durchgeführt von ELPatron (Administrator) auf DESKTOP-BHE5A1O (21-11-2020 14:13:25)
Gestartet von C:\Users\ELPatron\Desktop
Geladene Profile: ELPatron
Platform: Windows 10 Pro Version 2009 19042.630 (X64) Sprache: Deutsch (Deutschland)
Standard-Browser: FF
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Logitech Inc -> Logitech, Inc.) C:\Program Files\LGHUB\lghub.exe <4>
(Logitech Inc -> Logitech, Inc.) C:\Program Files\LGHUB\lghub_agent.exe
(Logitech Inc -> Logitech, Inc.) C:\Program Files\LGHUB\lghub_updater.exe
(Logitech Inc -> Logitech, Inc.) C:\Program Files\LGHUB\logi_crashpad_handler.exe <2>
(Malwarebytes Inc -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
(Malwarebytes Inc -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\rundll32.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\smartscreen.exe
(NVIDIA Corporation -> Node.js) C:\Program Files (x86)\NVIDIA Corporation\NvNode\NVIDIA Web Helper.exe
(NVIDIA Corporation -> NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe <2>
(NVIDIA Corporation -> NVIDIA Corporation) C:\Windows\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_5dcb5bbf5c3edcf2\Display.NvContainer\NVDisplay.Container.exe <2>

==================== Registry (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKU\S-1-5-21-1508547662-535294431-1954477923-1001\...\Run: [Steam] => C:\Program Files (x86)\Steam\steam.exe [3424032 2020-10-29] (Valve -> Valve Corporation)
HKU\S-1-5-21-1508547662-535294431-1954477923-1001\...\Run: [LGHUB] => C:\Program Files\LGHUB\lghub.exe [104586376 2020-11-20] (Logitech Inc -> Logitech, Inc.)
HKU\S-1-5-21-1508547662-535294431-1954477923-1001\...\Run: [Discord] => C:\Users\ELPatron\AppData\Local\Discord\app-0.0.308\Discord.exe [91023672 2020-09-10] (Discord Inc. -> Discord Inc.)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) ============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {53C4E805-FB0B-44F5-AF79-2D09FC872020} - System32\Tasks\NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe [1128424 2020-10-19] (NVIDIA Corporation -> NVIDIA Corporation)
Task: {54BBFDAA-E47B-453C-A860-8B9D526304A7} - System32\Tasks\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA GeForce Experience.exe [3301176 2020-10-20] (NVIDIA Corporation -> NVIDIA Corporation)
Task: {5D2714AD-B65F-47AE-B14B-A0D228482858} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [670928 2020-11-20] (Mozilla Corporation -> Mozilla Foundation)
Task: {5F6594E2-4115-4D91-BB45-6C5AB762A1F0} - System32\Tasks\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files (x86)\NVIDIA Corporation\NvNode\nvnodejslauncher.exe [646456 2020-10-19] (NVIDIA Corporation -> NVIDIA Corporation)
Task: {78DB4404-B283-43BC-B241-66208C54D7C1} - System32\Tasks\NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe [1128424 2020-10-19] (NVIDIA Corporation -> NVIDIA Corporation)
Task: {7FCF1635-917F-4E04-B9F0-6F63DFED0EED} - System32\Tasks\NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe [1128424 2020-10-19] (NVIDIA Corporation -> NVIDIA Corporation)
Task: {90C85E57-582C-4EA1-A7A9-B097B0B8D869} - System32\Tasks\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe [907240 2020-10-19] (NVIDIA Corporation -> NVIDIA Corporation)
Task: {EAC2EF59-A313-4A5D-AF78-F3AEB870A482} - System32\Tasks\NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe [874472 2020-10-17] (NVIDIA Corporation -> NVIDIA Corporation) -> -d "C:\Program Files\NVIDIA Corporation\NvBackend\NvBatteryBoostCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerBatteryBoostCheck.log
Task: {EEB8A438-0D95-41A0-99B8-A456F3E3BB8C} - System32\Tasks\NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe [1128424 2020-10-19] (NVIDIA Corporation -> NVIDIA Corporation)
Task: {F2F6EF66-E1F8-4328-9E4C-BC1D2215416A} - System32\Tasks\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe [907240 2020-10-19] (NVIDIA Corporation -> NVIDIA Corporation)
Task: {FD01B248-1C91-4D28-990C-3BA038ABBF6A} - System32\Tasks\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe [874472 2020-10-17] (NVIDIA Corporation -> NVIDIA Corporation) -> -d "C:\Program Files\NVIDIA Corporation\NvDriverUpdateCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerDriverUpdateCheck.log

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
Tcpip\..\Interfaces\{6401a474-6fe9-4d01-bfc8-f186d5842370}: [DhcpNameServer] 192.168.2.1

Edge: 
======
Edge DefaultProfile: Profile 1
Edge Profile: C:\Users\ELPatron\AppData\Local\Microsoft\Edge\User Data\Profile 1 [2020-11-21]
Edge Extension: (HTTPS Everywhere) - C:\Users\ELPatron\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\fchjpkplmbeeeaaogdbhjbgbknjobohb [2020-11-10]
Edge Extension: (Privacy Badger) - C:\Users\ELPatron\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\mkejgcgkdlddbggjhhflekkondicpnop [2020-11-10]
Edge Extension: (uBlock Origin) - C:\Users\ELPatron\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\odfafepnkmbhccpbejgmiehpchacaeak [2020-11-10]

FireFox:
========
FF DefaultProfile: 26r29pg8.default
FF ProfilePath: C:\Users\ELPatron\AppData\Roaming\Mozilla\Firefox\Profiles\26r29pg8.default [2020-11-17]
FF ProfilePath: C:\Users\ELPatron\AppData\Roaming\Mozilla\Firefox\Profiles\i7l4u97b.default-release [2020-11-21]
FF Extension: (Privacy Badger) - C:\Users\ELPatron\AppData\Roaming\Mozilla\Firefox\Profiles\i7l4u97b.default-release\Extensions\jid1-MnnxcxisBPnSXQ@jetpack.xpi [2020-11-17]
FF Extension: (uBlock Origin) - C:\Users\ELPatron\AppData\Roaming\Mozilla\Firefox\Profiles\i7l4u97b.default-release\Extensions\uBlock0@raymondhill.net.xpi [2020-11-20]
FF Extension: (NoScript) - C:\Users\ELPatron\AppData\Roaming\Mozilla\Firefox\Profiles\i7l4u97b.default-release\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2020-11-17]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\bd_js_config.js [2020-11-17] <==== ACHTUNG (Zeigt auf eine *.cfg Datei)
FF ExtraCheck: C:\Program Files\mozilla firefox\bd_config.cfg [2020-11-17] <==== ACHTUNG

==================== Dienste (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 FvSvc; C:\Program Files\NVIDIA Corporation\FrameViewSDK\nvfvsdksvc_x64.exe [287720 2020-10-19] (NVIDIA Corporation -> NVIDIA)
R2 LGHUBUpdaterService; C:\Program Files\LGHUB\lghub_updater.exe [10887816 2020-11-20] (Logitech Inc -> Logitech, Inc.)
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe [7269976 2020-11-21] (Malwarebytes Inc -> Malwarebytes)
S3 Sense; C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe [5101992 2020-11-11] (Microsoft Windows Publisher -> Microsoft Corporation)
S3 WdNisSvc; C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2010.7-0\NisSrv.exe [2467088 2020-11-10] (Microsoft Windows Publisher -> Microsoft Corporation)
S3 WinDefend; C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2010.7-0\MsMpEng.exe [128376 2020-11-10] (Microsoft Windows Publisher -> Microsoft Corporation)
S3 AfVpnService; "C:\Program Files\Bitdefender\Bitdefender VPN\hydra.sdk.windows.service.exe" [X]
R2 NVDisplay.ContainerLocalSystem; C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_5dcb5bbf5c3edcf2\Display.NvContainer\NVDisplay.Container.exe -s NVDisplay.ContainerLocalSystem -f %ProgramData%\NVIDIA\NVDisplay.ContainerLocalSystem.log -l 3 -d C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_5dcb5bbf5c3edcf2\Display.NvContainer\plugins\LocalSystem -r -p 30000 -cfg NVDisplay.ContainerLocalSystem\LocalSystem

===================== Treiber (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R1 ESProtectionDriver; C:\WINDOWS\system32\drivers\mbae64.sys [153312 2020-11-21] (Malwarebytes Corporation -> Malwarebytes)
R2 LGHUBTemperatureService; C:\ProgramData\LGHUB\depots\70065\driver_cpu_temperature\logi_core_temp.sys [25448 2020-11-20] (Logitech Inc. -> Logitech)
R3 logi_joy_bus_enum; C:\WINDOWS\system32\drivers\logi_joy_bus_enum.sys [38136 2020-11-20] (Logitech Inc -> Logitech)
R3 logi_joy_vir_hid; C:\WINDOWS\system32\drivers\logi_joy_vir_hid.sys [26672 2020-11-20] (Logitech Inc -> Logitech)
R3 logi_joy_xlcore; C:\WINDOWS\system32\drivers\logi_joy_xlcore.sys [66808 2020-11-20] (Logitech Inc -> Logitech)
R2 MBAMChameleon; C:\WINDOWS\System32\Drivers\MbamChameleon.sys [217600 2020-11-21] (Malwarebytes Inc -> Malwarebytes)
S0 MbamElam; C:\WINDOWS\System32\DRIVERS\MbamElam.sys [19912 2020-11-21] (Microsoft Windows Early Launch Anti-Malware Publisher -> Malwarebytes)
R3 MBAMFarflt; C:\WINDOWS\System32\DRIVERS\farflt.sys [197792 2020-11-21] (Malwarebytes Inc -> Malwarebytes)
R3 MBAMProtection; C:\WINDOWS\system32\DRIVERS\mbam.sys [74936 2020-11-21] (Malwarebytes Inc -> Malwarebytes)
R3 MBAMSwissArmy; C:\WINDOWS\System32\Drivers\mbamswissarmy.sys [248968 2020-11-21] (Malwarebytes Inc -> Malwarebytes)
R3 MBAMWebProtection; C:\WINDOWS\system32\DRIVERS\mwac.sys [134304 2020-11-21] (Malwarebytes Inc -> Malwarebytes)
S3 tap0901; C:\WINDOWS\System32\drivers\tap0901.sys [47920 2020-02-20] (Microsoft Windows Hardware Compatibility Publisher -> The OpenVPN Project)
S3 WdBoot; C:\WINDOWS\system32\drivers\wd\WdBoot.sys [48536 2020-11-10] (Microsoft Windows Early Launch Anti-Malware Publisher -> Microsoft Corporation)
S3 WdFilter; C:\WINDOWS\system32\drivers\wd\WdFilter.sys [429288 2020-11-10] (Microsoft Windows -> Microsoft Corporation)
S3 WdNisDrv; C:\WINDOWS\System32\drivers\wd\WdNisDrv.sys [71912 2020-11-10] (Microsoft Windows -> Microsoft Corporation)
S2 AMDRyzenMasterDriverV13; \??\C:\Program Files\AMD\RyzenMaster\bin\AMDRyzenMasterDriver.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat (erstellte) (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2020-11-21 13:21 - 2020-11-21 13:21 - 000022163 _____ C:\Users\ELPatron\Desktop\Addition.txt
2020-11-21 13:20 - 2020-11-21 14:13 - 000012310 _____ C:\Users\ELPatron\Desktop\FRST.txt
2020-11-21 12:54 - 2020-11-21 13:42 - 000000673 _____ C:\Users\ELPatron\Desktop\ESET Online Scanner.lnk
2020-11-21 12:52 - 2020-11-21 13:42 - 000000801 _____ C:\Users\ELPatron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET Online Scanner.lnk
2020-11-21 12:52 - 2020-11-21 12:52 - 000000000 ____D C:\Users\ELPatron\AppData\Local\ESET
2020-11-21 12:51 - 2020-11-21 12:54 - 015012440 _____ (ESET spol. s r.o.) C:\Users\ELPatron\Downloads\ESETOnlineScanner_DEU.exe
2020-11-21 12:39 - 2020-11-21 12:39 - 000001424 _____ C:\Users\ELPatron\Desktop\malewarebytelog.txt
2020-11-21 12:26 - 2020-11-21 12:26 - 000197792 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\farflt.sys
2020-11-21 12:26 - 2020-11-21 12:26 - 000134304 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mwac.sys
2020-11-21 12:26 - 2020-11-21 12:26 - 000074936 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbam.sys
2020-11-21 12:24 - 2020-11-21 12:24 - 000001218 _____ C:\Users\ELPatron\Desktop\text.txt
2020-11-21 12:22 - 2020-11-21 12:22 - 000002033 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
2020-11-21 12:22 - 2020-11-21 12:22 - 000002021 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
2020-11-21 12:22 - 2020-11-21 12:22 - 000002021 _____ C:\ProgramData\Desktop\Malwarebytes.lnk
2020-11-21 12:22 - 2020-11-21 12:22 - 000000000 ____D C:\Users\ELPatron\AppData\Local\mbam
2020-11-21 12:21 - 2020-11-21 12:21 - 000248968 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbamswissarmy.sys
2020-11-21 12:21 - 2020-11-21 12:21 - 000217600 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MbamChameleon.sys
2020-11-21 12:21 - 2020-11-21 12:21 - 000153312 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbae64.sys
2020-11-21 12:21 - 2020-11-21 12:21 - 000019912 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MbamElam.sys
2020-11-21 12:21 - 2020-11-21 12:21 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-11-21 12:21 - 2020-11-21 12:21 - 000000000 ____D C:\Program Files\Malwarebytes
2020-11-21 12:20 - 2020-11-21 12:20 - 002076624 _____ (Malwarebytes) C:\Users\ELPatron\Downloads\MBSetup.exe
2020-11-21 10:42 - 2020-11-21 14:13 - 000000000 ____D C:\FRST
2020-11-21 10:36 - 2020-11-21 14:11 - 002294784 _____ (Farbar) C:\Users\ELPatron\Desktop\FRST64.exe
2020-11-20 23:09 - 2020-11-21 10:18 - 000000000 ____D C:\Users\ELPatron\AppData\Roaming\discord
2020-11-20 23:09 - 2020-11-20 23:09 - 000002242 _____ C:\Users\ELPatron\Desktop\Discord.lnk
2020-11-20 23:09 - 2020-11-20 23:09 - 000000000 ____D C:\Users\ELPatron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Discord Inc
2020-11-20 23:09 - 2020-11-20 23:09 - 000000000 ____D C:\Users\ELPatron\AppData\Local\Discord
2020-11-20 23:08 - 2020-11-20 23:09 - 062636856 _____ (Discord Inc.) C:\Users\ELPatron\Downloads\DiscordSetup.exe
2020-11-20 18:04 - 2020-11-21 14:06 - 000000000 ____D C:\Users\ELPatron\AppData\Local\LGHUB
2020-11-20 18:04 - 2020-11-21 08:56 - 000000000 ____D C:\Users\ELPatron\AppData\Roaming\LGHUB
2020-11-20 18:04 - 2020-11-20 18:04 - 000000722 _____ C:\Users\Public\Desktop\Logitech G HUB.lnk
2020-11-20 18:04 - 2020-11-20 18:04 - 000000722 _____ C:\ProgramData\Desktop\Logitech G HUB.lnk
2020-11-20 18:04 - 2020-11-20 18:04 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Logi
2020-11-20 18:04 - 2020-11-20 18:04 - 000000000 ____D C:\Program Files\LGHUB
2020-11-20 18:03 - 2020-11-20 18:04 - 000000000 ____D C:\ProgramData\LGHUB
2020-11-20 18:03 - 2020-11-20 18:03 - 000066808 _____ (Logitech) C:\WINDOWS\system32\Drivers\logi_joy_xlcore.sys
2020-11-20 18:03 - 2020-11-20 18:03 - 000038136 _____ (Logitech) C:\WINDOWS\system32\Drivers\logi_joy_bus_enum.sys
2020-11-20 18:03 - 2020-11-20 18:03 - 000026672 _____ (Logitech) C:\WINDOWS\system32\Drivers\logi_joy_vir_hid.sys
2020-11-20 18:01 - 2020-11-20 18:01 - 036482696 _____ (Logitech, Inc.) C:\Users\ELPatron\Downloads\lghub_installer.exe
2020-11-20 17:48 - 2020-11-20 17:48 - 111461552 _____ C:\Users\ELPatron\Downloads\AOMEIBackupperSetup.zip
2020-11-20 17:46 - 2020-11-20 17:46 - 000840381 _____ C:\Users\ELPatron\Downloads\Coretemp116.zip
2020-11-20 17:45 - 2020-11-20 17:45 - 028559152 _____ (Goversoft LLC) C:\Users\ELPatron\Downloads\PrivaZer_414free.exe
2020-11-20 17:39 - 2016-04-26 21:32 - 000150272 _____ (ASMedia Technology Inc) C:\WINDOWS\system32\Drivers\asmthub3.sys
2020-11-20 17:36 - 2020-11-20 17:36 - 000000000 ____D C:\WINDOWS\system32\Tasks\Mozilla
2020-11-20 17:33 - 2020-11-20 21:54 - 000000000 ____D C:\Program Files\Mozilla Firefox
2020-11-20 13:55 - 2020-11-20 13:56 - 000126017 _____ C:\ProgramData\uninstalltool.1605876957.13568.bin
2020-11-20 13:55 - 2020-11-20 13:56 - 000003082 _____ C:\ProgramData\uninstalltool.1605876957.11152.bin
2020-11-20 03:42 - 2016-04-26 21:32 - 000453880 _____ (ASMedia Technology Inc) C:\WINDOWS\system32\Drivers\asmtxhci.sys
2020-11-20 03:42 - 2016-04-26 04:09 - 000028408 _____ C:\WINDOWS\system32\asmtxhcicoinstaller.dll
2020-11-19 23:28 - 2020-11-20 21:56 - 070778880 _____ C:\WINDOWS\system32\config\SOFTWARE
2020-11-19 23:26 - 2020-11-19 23:28 - 000000000 ____D C:\WINDOWS\Microsoft Antimalware
2020-11-19 03:40 - 2020-11-19 23:23 - 000007598 _____ C:\Users\ELPatron\AppData\Local\Resmon.ResmonCfg
2020-11-19 02:56 - 2020-11-19 02:56 - 000000000 ____D C:\Users\ELPatron\AppData\Local\Downloaded Installations
2020-11-19 02:54 - 2020-11-19 06:38 - 000000000 ____D C:\AMD
2020-11-19 02:54 - 2020-11-19 02:54 - 000000000 ____D C:\Users\ELPatron\AppData\Local\Setup
2020-11-19 02:52 - 2020-11-19 02:53 - 137829920 _____ (Advanced Micro Devices, Inc.) C:\Users\ELPatron\Downloads\AMD-Ryzen-Master.exe
2020-11-18 16:44 - 2020-11-18 22:32 - 000003022 _____ C:\Users\ELPatron\Desktop\lol.txt
2020-11-17 11:56 - 2020-11-17 11:56 - 000000000 ____D C:\Users\ELPatron\AppData\Local\ElevatedDiagnostics
2020-11-17 04:30 - 2020-11-17 04:30 - 000000025 _____ C:\Users\ELPatron\Desktop\kk.txt
2020-11-17 04:25 - 2020-11-17 04:25 - 000000000 ____D C:\Users\ELPatron\Downloads\WinClient
2020-11-17 03:52 - 2020-11-21 09:56 - 000000000 ____D C:\ProgramData\Mozilla
2020-11-17 03:52 - 2020-11-20 21:54 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2020-11-17 03:52 - 2020-11-20 17:36 - 000001005 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk
2020-11-17 03:52 - 2020-11-17 03:52 - 000334080 _____ (Mozilla) C:\Users\ELPatron\Downloads\Firefox Installer.exe
2020-11-17 03:52 - 2020-11-17 03:52 - 000000993 _____ C:\Users\Public\Desktop\Firefox.lnk
2020-11-17 03:52 - 2020-11-17 03:52 - 000000993 _____ C:\ProgramData\Desktop\Firefox.lnk
2020-11-17 03:52 - 2020-11-17 03:52 - 000000000 ____D C:\Users\ELPatron\AppData\Roaming\Mozilla
2020-11-17 03:52 - 2020-11-17 03:52 - 000000000 ____D C:\Users\ELPatron\AppData\Local\Mozilla
2020-11-13 15:09 - 2020-11-13 15:09 - 000087364 _____ C:\ProgramData\agent.update.1605276582.bdinstall.v2.bin
2020-11-13 07:23 - 2020-11-21 09:10 - 000000000 ____D C:\Users\ELPatron\AppData\Local\D3DSCache
2020-11-12 18:29 - 2020-11-12 19:24 - 000000000 ____D C:\ProgramData\bitmonero
2020-11-12 17:12 - 2020-11-12 17:12 - 000000000 ____D C:\ProgramData\.shared-ringdb
2020-11-12 17:09 - 2020-11-12 17:09 - 000000000 ____D C:\Users\ELPatron\AppData\Roaming\monero-wallet-gui
2020-11-12 17:08 - 2020-11-12 17:08 - 000000000 ____D C:\Users\ELPatron\AppData\Local\monero-project
2020-11-12 16:55 - 2020-11-12 16:55 - 000000000 ____D C:\Users\ELPatron\AppData\Local\mymonero-updater
2020-11-11 15:03 - 2020-11-11 15:03 - 010655981 _____ C:\Users\ELPatron\Downloads\windows8.1-kb4048951-x86_5b6e65493b9c9d93102ac71730d5b710e78ecfa2 (1).msu
2020-11-11 15:02 - 2020-11-11 15:02 - 010655981 _____ C:\Users\ELPatron\Downloads\windows8.1-kb4048951-x86_5b6e65493b9c9d93102ac71730d5b710e78ecfa2.msu
2020-11-11 14:28 - 2020-11-11 14:28 - 000009265 _____ C:\WINDOWS\system32\DrtmAuthTxt.wim
2020-11-11 14:11 - 2020-11-12 17:08 - 000000000 ____D C:\Users\ELPatron\AppData\Local\cache
2020-11-11 14:11 - 2020-11-11 14:11 - 004182224 _____ C:\Users\ELPatron\Downloads\DashboardSetup.exe
2020-11-11 14:11 - 2020-11-11 14:11 - 000002236 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dashboard.lnk
2020-11-11 14:11 - 2020-11-11 14:11 - 000002224 _____ C:\Users\ELPatron\Desktop\Dashboard.lnk
2020-11-11 14:11 - 2020-11-11 14:11 - 000000000 ____D C:\Users\ELPatron\AppData\Local\Western Digital
2020-11-11 14:11 - 2020-11-11 14:11 - 000000000 ____D C:\Program Files\ENE
2020-11-11 14:11 - 2020-11-11 14:11 - 000000000 ____D C:\Program Files (x86)\Western Digital
2020-11-11 14:03 - 2020-11-11 14:05 - 000000000 ____D C:\Program Files (x86)\SanDisk
2020-11-11 14:03 - 2020-11-11 14:03 - 003987152 _____ C:\Users\ELPatron\Downloads\SanDiskSSD2800DashboardSetup.exe
2020-11-11 13:43 - 2020-11-11 13:44 - 054114650 _____ C:\Users\ELPatron\Downloads\Samsung_Magician_Installer.zip
2020-11-11 13:07 - 2020-11-11 13:07 - 000000000 ____D C:\Users\ELPatron\AppData\Local\PeerDistRepub
2020-11-11 12:54 - 2020-11-11 12:54 - 000000000 ____D C:\WINDOWS\system32\Tasks\Aufgaben der Ereignisanzeige
2020-11-10 12:43 - 2020-11-10 12:43 - 000000000 ____D C:\Users\ELPatron\AppData\Roaming\WinClient
2020-11-10 12:43 - 2020-11-10 12:43 - 000000000 ____D C:\Users\ELPatron\AppData\Local\FlashZone
2020-11-10 12:43 - 2020-11-10 12:43 - 000000000 ____D C:\Users\ELPatron\AppData\Local\Apps\WinClient
2020-11-10 12:41 - 2020-11-10 12:41 - 000002169 _____ C:\Users\ELPatron\Desktop\1xWin.lnk
2020-11-10 12:41 - 2020-11-10 12:41 - 000000000 ____D C:\Users\ELPatron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\1xWin
2020-11-10 12:41 - 2020-11-10 12:41 - 000000000 ____D C:\Users\ELPatron\AppData\Local\1xCorp N.V
2020-11-10 10:56 - 2020-11-10 10:56 - 000000222 _____ C:\Users\ELPatron\Desktop\Serious Sam 4.url
2020-11-10 10:30 - 2020-11-08 22:24 - 002542744 _____ C:\Users\ELPatron\Desktop\torbrowser-install-win64-10.0.2_en-US.exe
2020-11-10 10:11 - 2020-11-10 10:11 - 000000467 _____ C:\Users\ELPatron\Desktop\Russian Fishing 4.lnk
2020-11-10 10:11 - 2020-11-10 10:11 - 000000467 _____ C:\Users\ELPatron\AppData\Roaming\Microsoft\Windows\Start Menu\Russian Fishing 4.lnk
2020-11-10 10:11 - 2020-11-10 10:11 - 000000000 ____D C:\Games
2020-11-10 10:10 - 2020-11-10 10:10 - 000000000 ____D C:\Users\ELPatron\AppData\Local\RF4Launcher
2020-11-10 10:06 - 2020-11-10 10:06 - 000000000 ____D C:\Users\ELPatron\AppData\Local\Steam
2020-11-10 10:05 - 2020-11-20 23:08 - 000000000 ____D C:\Program Files (x86)\Steam
2020-11-10 10:05 - 2020-11-10 10:05 - 001573568 _____ C:\Users\ELPatron\Downloads\SteamSetup.exe
2020-11-10 10:05 - 2020-11-10 10:05 - 000001032 _____ C:\Users\Public\Desktop\Steam.lnk
2020-11-10 10:05 - 2020-11-10 10:05 - 000001032 _____ C:\ProgramData\Desktop\Steam.lnk
2020-11-10 10:05 - 2020-11-10 10:05 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam
2020-11-10 09:15 - 2020-11-21 14:10 - 000000000 ____D C:\Users\ELPatron\AppData\LocalLow\Mozilla
2020-11-10 08:49 - 2020-11-20 23:09 - 000000000 ____D C:\Users\ELPatron\AppData\Local\SquirrelTemp
2020-11-10 08:49 - 2020-11-15 07:17 - 000000000 ____D C:\Users\ELPatron\AppData\Roaming\Exodus
2020-11-10 08:49 - 2020-11-10 08:49 - 000002238 _____ C:\Users\ELPatron\Desktop\Exodus.lnk
2020-11-10 08:49 - 2020-11-10 08:49 - 000000000 ____D C:\Users\ELPatron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Exodus Movement Inc
2020-11-10 08:49 - 2020-11-10 08:49 - 000000000 ____D C:\Users\ELPatron\AppData\Local\exodus
2020-11-10 08:47 - 2020-11-15 07:12 - 000000000 ____D C:\Users\ELPatron\AppData\Local\CrashDumps
2020-11-10 08:08 - 2020-11-07 05:01 - 000038632 _____ (NVIDIA Corporation) C:\WINDOWS\system32\Drivers\nvhdap64.dll
2020-11-10 08:06 - 2020-11-07 18:41 - 001769688 _____ C:\WINDOWS\system32\vulkaninfo-1-999-0-0-0.exe
2020-11-10 08:06 - 2020-11-07 18:41 - 001769688 _____ C:\WINDOWS\system32\vulkaninfo.exe
2020-11-10 08:06 - 2020-11-07 18:41 - 001370328 _____ C:\WINDOWS\SysWOW64\vulkaninfo-1-999-0-0-0.exe
2020-11-10 08:06 - 2020-11-07 18:41 - 001370328 _____ C:\WINDOWS\SysWOW64\vulkaninfo.exe
2020-11-10 08:06 - 2020-11-07 18:41 - 001054944 _____ C:\WINDOWS\system32\vulkan-1-999-0-0-0.dll
2020-11-10 08:06 - 2020-11-07 18:41 - 001054944 _____ C:\WINDOWS\system32\vulkan-1.dll
2020-11-10 08:06 - 2020-11-07 18:41 - 000917728 _____ C:\WINDOWS\SysWOW64\vulkan-1-999-0-0-0.dll
2020-11-10 08:06 - 2020-11-07 18:41 - 000917728 _____ C:\WINDOWS\SysWOW64\vulkan-1.dll
2020-11-10 08:06 - 2020-11-07 18:41 - 000455408 _____ (Khronos Group) C:\WINDOWS\system32\OpenCL.dll
2020-11-10 08:06 - 2020-11-07 18:41 - 000349936 _____ (Khronos Group) C:\WINDOWS\SysWOW64\OpenCL.dll
2020-11-10 08:06 - 2020-11-07 18:38 - 002096880 _____ (NVIDIA Corporation) C:\WINDOWS\system32\NvFBC64.dll
2020-11-10 08:06 - 2020-11-07 18:38 - 001585560 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\NvFBC.dll
2020-11-10 08:06 - 2020-11-07 18:38 - 001506032 _____ (NVIDIA Corporation) C:\WINDOWS\system32\NvIFR64.dll
2020-11-10 08:06 - 2020-11-07 18:38 - 001159920 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\NvIFR.dll
2020-11-10 08:06 - 2020-11-07 18:38 - 001027992 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvml.dll
2020-11-10 08:06 - 2020-11-07 18:38 - 000816368 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvmcumd.dll
2020-11-10 08:06 - 2020-11-07 18:38 - 000813464 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvEncodeAPI64.dll
2020-11-10 08:06 - 2020-11-07 18:38 - 000674712 _____ C:\WINDOWS\system32\nvofapi64.dll
2020-11-10 08:06 - 2020-11-07 18:38 - 000670616 _____ (NVIDIA Corporation) C:\WINDOWS\system32\NvIFROpenGL.dll
2020-11-10 08:06 - 2020-11-07 18:38 - 000656112 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvEncodeAPI.dll
2020-11-10 08:06 - 2020-11-07 18:38 - 000590576 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvidia-smi.exe
2020-11-10 08:06 - 2020-11-07 18:38 - 000556440 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\NvIFROpenGL.dll
2020-11-10 08:06 - 2020-11-07 18:38 - 000543128 _____ C:\WINDOWS\SysWOW64\nvofapi.dll
2020-11-10 08:06 - 2020-11-07 18:37 - 007707544 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvcuvid.dll
2020-11-10 08:06 - 2020-11-07 18:37 - 006858992 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvcuvid.dll
2020-11-10 08:06 - 2020-11-07 18:37 - 004175256 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvcuda.dll
2020-11-10 08:06 - 2020-11-07 18:37 - 002509720 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvcuda.dll
2020-11-10 08:06 - 2020-11-07 18:37 - 000849648 _____ (NVIDIA Corporation) C:\WINDOWS\system32\MCU.exe
2020-11-10 08:06 - 2020-11-07 18:37 - 000445848 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvdebugdump.exe
2020-11-10 08:06 - 2020-11-07 18:36 - 005976296 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvapi.dll
2020-11-10 08:06 - 2020-11-07 05:01 - 000080930 _____ C:\WINDOWS\system32\nvinfo.pb
2020-11-10 07:58 - 2020-11-12 17:08 - 000000000 ____D C:\Users\ELPatron\AppData\Local\NVIDIA
2020-11-10 07:58 - 2020-11-10 12:25 - 000000000 ____D C:\Users\ELPatron\AppData\Local\NVIDIA Corporation
2020-11-10 07:58 - 2020-11-10 07:58 - 000001443 _____ C:\Users\Public\Desktop\GeForce Experience.lnk
2020-11-10 07:58 - 2020-11-10 07:58 - 000001443 _____ C:\ProgramData\Desktop\GeForce Experience.lnk
2020-11-10 07:58 - 2020-11-10 07:58 - 000000000 ____D C:\Users\ELPatron\AppData\Local\CEF
2020-11-10 07:58 - 2020-11-10 07:58 - 000000000 ____D C:\Users\ELPatron\ansel
2020-11-10 07:57 - 2020-11-20 18:02 - 000000000 ____D C:\ProgramData\Package Cache
2020-11-10 07:57 - 2020-11-10 08:10 - 000000000 ____D C:\Program Files (x86)\NVIDIA Corporation
2020-11-10 07:57 - 2020-11-10 07:57 - 000004308 _____ C:\WINDOWS\system32\Tasks\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2020-11-10 07:57 - 2020-11-10 07:57 - 000004106 _____ C:\WINDOWS\system32\Tasks\NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2020-11-10 07:57 - 2020-11-10 07:57 - 000003976 _____ C:\WINDOWS\system32\Tasks\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2020-11-10 07:57 - 2020-11-10 07:57 - 000003940 _____ C:\WINDOWS\system32\Tasks\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2020-11-10 07:57 - 2020-11-10 07:57 - 000003894 _____ C:\WINDOWS\system32\Tasks\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2020-11-10 07:57 - 2020-11-10 07:57 - 000003858 _____ C:\WINDOWS\system32\Tasks\NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2020-11-10 07:57 - 2020-11-10 07:57 - 000003858 _____ C:\WINDOWS\system32\Tasks\NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2020-11-10 07:57 - 2020-11-10 07:57 - 000003858 _____ C:\WINDOWS\system32\Tasks\NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2020-11-10 07:57 - 2020-11-10 07:57 - 000003858 _____ C:\WINDOWS\system32\Tasks\NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2020-11-10 07:57 - 2020-11-10 07:57 - 000003654 _____ C:\WINDOWS\system32\Tasks\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2020-11-10 07:57 - 2020-11-10 07:57 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation
2020-11-10 07:57 - 2020-10-20 13:56 - 002797552 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvspcap64.dll
2020-11-10 07:57 - 2020-10-20 13:56 - 002154984 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvspcap.dll
2020-11-10 07:57 - 2020-10-20 13:56 - 001294832 _____ (NVIDIA Corporation) C:\WINDOWS\system32\NvRtmpStreamer64.dll
2020-11-10 07:57 - 2020-10-19 06:42 - 000069608 _____ C:\WINDOWS\system32\FvSDK_x64.dll
2020-11-10 07:57 - 2020-10-19 06:42 - 000058344 _____ C:\WINDOWS\SysWOW64\FvSDK_x86.dll
2020-11-10 07:57 - 2020-10-17 16:01 - 000001951 _____ C:\WINDOWS\NvContainerRecovery.bat
2020-11-10 07:57 - 2020-08-10 16:20 - 000169272 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvaudcap64v.dll
2020-11-10 07:57 - 2020-08-10 16:20 - 000145208 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvaudcap32v.dll
2020-11-10 07:57 - 2020-03-11 20:26 - 000067456 _____ (NVIDIA Corporation) C:\WINDOWS\system32\Drivers\nvvhci.sys
2020-11-10 07:57 - 2020-03-06 11:03 - 000069840 _____ (NVIDIA Corporation) C:\WINDOWS\system32\Drivers\nvvad64v.sys
2020-11-10 07:57 - 2020-03-04 13:54 - 000050592 _____ (NVIDIA Corporation) C:\WINDOWS\system32\Drivers\NvModuleTracker.sys
2020-11-10 07:56 - 2020-11-10 07:57 - 127450288 _____ (NVIDIA Corporation New) C:\Users\ELPatron\Downloads\GeForce_Experience_v3.20.5.70.exe
2020-11-10 07:21 - 2020-11-10 07:21 - 000195260 _____ C:\ProgramData\vpn.1604989263.bdinstall.v2.bin
2020-11-10 07:21 - 2020-11-10 07:21 - 000000000 ____D C:\ProgramData\AnchorFree_Inc
2020-11-10 07:21 - 2020-02-20 13:02 - 000047920 _____ (The OpenVPN Project) C:\WINDOWS\system32\Drivers\tap0901.sys
2020-11-10 07:18 - 2020-11-10 07:18 - 000763636 _____ C:\ProgramData\cl.1604989018.bdinstall.v2.bin
2020-11-10 07:18 - 2020-11-10 07:18 - 000101428 _____ C:\ProgramData\cl.kit.1604989016.bdinstall.v2.bin
2020-11-10 07:18 - 2020-11-10 07:18 - 000000000 ____D C:\WINDOWS\system32\elambkup
2020-11-10 07:18 - 2020-11-10 07:18 - 000000000 ____D C:\Users\ELPatron\AppData\Local\OneDrive
2020-11-10 07:18 - 2020-11-10 07:18 - 000000000 ____D C:\ProgramData\Gemma
2020-11-10 07:18 - 2020-11-10 07:18 - 000000000 ____D C:\ProgramData\BDLogging
2020-11-10 07:18 - 2020-11-10 07:18 - 000000000 ____D C:\ProgramData\48C4687D-9760-4F5B-BAB3-60351B0841E4
2020-11-10 07:15 - 2020-11-10 07:15 - 000116780 _____ C:\ProgramData\agent.1604988904.bdinstall.v2.bin
2020-11-10 01:57 - 2020-11-20 21:55 - 000001607 _____ C:\WINDOWS\system32\config\VSMIDK
2020-11-10 01:54 - 2020-11-10 01:54 - 000363520 _____ C:\WINDOWS\system32\Windows.Internal.UI.Shell.WindowTabManager.dll
2020-11-10 01:54 - 2020-11-10 01:54 - 000266240 _____ C:\WINDOWS\SysWOW64\Windows.Internal.UI.Shell.WindowTabManager.dll
2020-11-10 01:54 - 2020-11-10 01:54 - 000197632 _____ C:\WINDOWS\system32\IHDS.dll
2020-11-10 01:54 - 2020-11-10 01:54 - 000152576 _____ C:\WINDOWS\system32\EoAExperiences.exe
2020-11-10 01:50 - 2020-11-10 01:50 - 000000000 ____D C:\Users\ELPatron\AppData\Local\Comms
2020-11-10 01:46 - 2020-11-21 12:25 - 000000000 ____D C:\ProgramData\NVIDIA
2020-11-10 01:46 - 2020-11-11 14:38 - 000000000 ____D C:\WINDOWS\system32\MRT
2020-11-10 01:46 - 2020-11-10 01:46 - 000000000 ___HD C:\$WinREAgent
2020-11-10 01:35 - 2020-11-11 12:48 - 000000000 ____D C:\Users\ELPatron\AppData\Local\PlaceholderTileLogoFolder
2020-11-10 01:34 - 2020-11-10 01:35 - 000000000 ___RD C:\Users\ELPatron\OneDrive
2020-11-10 01:34 - 2020-11-10 01:34 - 000000000 ____D C:\ProgramData\Microsoft OneDrive
2020-11-10 01:33 - 2020-11-18 22:32 - 000000000 ____D C:\Users\ELPatron\AppData\Local\Packages
2020-11-10 01:33 - 2020-11-14 22:58 - 000000000 ____D C:\Users\ELPatron\AppData\Local\VirtualStore
2020-11-10 01:33 - 2020-11-10 07:24 - 000008385 _____ C:\ProgramData\DisplaySessionContainer2.log_backup1
2020-11-10 01:33 - 2020-11-10 01:33 - 000000000 __RHD C:\Users\Public\AccountPictures
2020-11-10 01:33 - 2020-11-10 01:33 - 000000000 ___RD C:\Users\ELPatron\3D Objects
2020-11-10 01:33 - 2020-11-10 01:33 - 000000000 ____D C:\Users\ELPatron\AppData\Roaming\Adobe
2020-11-10 01:33 - 2020-11-10 01:33 - 000000000 ____D C:\Users\ELPatron\AppData\Local\Publishers
2020-11-10 01:33 - 2020-11-10 01:33 - 000000000 ____D C:\Users\ELPatron\AppData\Local\ConnectedDevicesPlatform
2020-11-10 01:32 - 2020-11-21 08:36 - 001632020 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2020-11-10 01:32 - 2020-11-19 23:25 - 000000000 ____D C:\Users\ELPatron
2020-11-10 01:32 - 2020-11-12 13:23 - 000000000 ____D C:\ProgramData\Packages
2020-11-10 01:32 - 2020-11-10 01:32 - 000000020 ___SH C:\Users\ELPatron\ntuser.ini
2020-11-10 01:32 - 2020-11-10 01:32 - 000000000 _SHDL C:\Users\ELPatron\Vorlagen
2020-11-10 01:32 - 2020-11-10 01:32 - 000000000 _SHDL C:\Users\ELPatron\Startmenü
2020-11-10 01:32 - 2020-11-10 01:32 - 000000000 _SHDL C:\Users\ELPatron\Netzwerkumgebung
2020-11-10 01:32 - 2020-11-10 01:32 - 000000000 _SHDL C:\Users\ELPatron\Lokale Einstellungen
2020-11-10 01:32 - 2020-11-10 01:32 - 000000000 _SHDL C:\Users\ELPatron\Eigene Dateien
2020-11-10 01:32 - 2020-11-10 01:32 - 000000000 _SHDL C:\Users\ELPatron\Druckumgebung
2020-11-10 01:32 - 2020-11-10 01:32 - 000000000 _SHDL C:\Users\ELPatron\Documents\Eigene Videos
2020-11-10 01:32 - 2020-11-10 01:32 - 000000000 _SHDL C:\Users\ELPatron\Documents\Eigene Musik
2020-11-10 01:32 - 2020-11-10 01:32 - 000000000 _SHDL C:\Users\ELPatron\Documents\Eigene Bilder
2020-11-10 01:32 - 2020-11-10 01:32 - 000000000 _SHDL C:\Users\ELPatron\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2020-11-10 01:32 - 2020-11-10 01:32 - 000000000 _SHDL C:\Users\ELPatron\AppData\Local\Verlauf
2020-11-10 01:32 - 2020-11-10 01:32 - 000000000 _SHDL C:\Users\ELPatron\AppData\Local\Anwendungsdaten
2020-11-10 01:32 - 2020-11-10 01:32 - 000000000 _SHDL C:\Users\ELPatron\Anwendungsdaten
2020-11-10 01:32 - 2020-11-10 01:32 - 000000000 ____H C:\WINDOWS\system32\Drivers\Msft_Kernel_amdpsp_01011.Wdf
2020-11-10 01:31 - 2020-11-10 10:10 - 000000000 ____D C:\ProgramData\NVIDIA Corporation
2020-11-10 01:31 - 2020-11-10 08:09 - 000000000 ____D C:\Program Files\NVIDIA Corporation
2020-11-10 01:31 - 2020-11-10 01:56 - 000037288 _____ C:\ProgramData\NVDisplayContainerWatchdog.log_backup1
2020-11-10 01:31 - 2020-11-10 01:56 - 000012165 _____ C:\ProgramData\NVDisplay.ContainerLocalSystem.log_backup1
2020-11-10 01:31 - 2020-11-10 01:33 - 000006589 _____ C:\ProgramData\DisplaySessionContainer1.log_backup1
2020-11-10 01:31 - 2020-11-10 01:31 - 000000000 ____D C:\WINDOWS\system32\Drivers\NVIDIA Corporation
2020-11-10 01:31 - 2020-11-07 18:36 - 007005008 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvapi64.dll
2020-11-10 01:31 - 2020-11-07 05:01 - 000222112 _____ (NVIDIA Corporation) C:\WINDOWS\system32\Drivers\nvhda64v.sys
2020-11-10 01:31 - 2019-10-04 16:15 - 000469736 _____ (NVIDIA Corporation) C:\WINDOWS\system32\Drivers\UcmCxUcsiNvppc.sys
2020-11-10 01:31 - 2019-10-04 16:13 - 005443976 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvcpl.dll
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Public\Documents\Eigene Videos
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Public\Documents\Eigene Musik
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Public\Documents\Eigene Bilder
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default\Vorlagen
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default\Startmenü
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default\Netzwerkumgebung
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default\Lokale Einstellungen
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default\Eigene Dateien
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default\Druckumgebung
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default\Documents\Eigene Videos
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default\Documents\Eigene Musik
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default\Documents\Eigene Bilder
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default\AppData\Local\Verlauf
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default\AppData\Local\Anwendungsdaten
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default\Anwendungsdaten
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default User\Vorlagen
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default User\Startmenü
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default User\Netzwerkumgebung
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default User\Lokale Einstellungen
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default User\Eigene Dateien
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default User\Druckumgebung
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default User\Documents\Eigene Videos
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default User\Documents\Eigene Musik
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default User\Documents\Eigene Bilder
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default User\AppData\Local\Verlauf
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default User\AppData\Local\Anwendungsdaten
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default User\Anwendungsdaten
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\Default User
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Users\All Users
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Programme
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\ProgramData\Vorlagen
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\ProgramData\Startmenü
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\ProgramData\Microsoft\Windows\Start Menu\Programme
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\ProgramData\Dokumente
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\ProgramData\Anwendungsdaten
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Program Files\Gemeinsame Dateien
2020-11-10 01:27 - 2020-11-10 01:27 - 000000000 _SHDL C:\Dokumente und Einstellungen
2020-11-10 01:26 - 2020-11-15 06:54 - 000002436 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk
2020-11-10 01:26 - 2020-11-15 06:54 - 000002274 _____ C:\Users\Public\Desktop\Microsoft Edge.lnk
2020-11-10 01:26 - 2020-11-15 06:54 - 000002274 _____ C:\ProgramData\Desktop\Microsoft Edge.lnk
2020-11-10 01:26 - 2020-11-10 01:32 - 000003700 _____ C:\WINDOWS\system32\Tasks\MicrosoftEdgeUpdateTaskMachineUA
2020-11-10 01:26 - 2020-11-10 01:32 - 000003576 _____ C:\WINDOWS\system32\Tasks\MicrosoftEdgeUpdateTaskMachineCore
2020-11-10 01:25 - 2020-11-21 08:32 - 000000006 ____H C:\WINDOWS\Tasks\SA.DAT
2020-11-10 01:25 - 2020-11-10 06:49 - 000000000 ____D C:\WINDOWS\system32\Drivers\wd
2020-11-10 01:25 - 2020-11-10 01:25 - 000000000 ____H C:\WINDOWS\system32\Drivers\Msft_User_WpdFs_01_11_00.Wdf
2020-11-10 01:24 - 2020-11-21 13:12 - 000000000 ____D C:\WINDOWS\system32\SleepStudy
2020-11-10 01:24 - 2020-11-21 08:32 - 000008192 ___SH C:\DumpStack.log.tmp
2020-11-10 01:24 - 2020-11-11 14:31 - 000258784 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2020-11-10 01:24 - 2020-11-10 01:24 - 000000000 ____D C:\WINDOWS\ServiceProfiles
2020-11-09 20:43 - 2020-11-10 01:27 - 000000000 ____D C:\WINDOWS\Panther
2020-11-09 20:42 - 2020-11-10 01:29 - 000000000 ____D C:\WINDOWS\system32\FxsTmp
2020-11-09 20:42 - 2020-11-09 20:42 - 000008192 _____ C:\WINDOWS\system32\config\userdiff
2020-11-09 20:42 - 2020-11-09 20:42 - 000000000 ____D C:\WINDOWS\SysWOW64\MailContactsCalendarSync
2020-11-09 20:42 - 2020-11-09 20:42 - 000000000 ____D C:\WINDOWS\SysWOW64\FxsTmp
2020-11-09 20:42 - 2020-11-09 20:42 - 000000000 ____D C:\WINDOWS\system32\OpenSSH
2020-11-09 20:42 - 2020-11-09 20:42 - 000000000 ____D C:\WINDOWS\system32\MailContactsCalendarSync
2020-11-09 20:42 - 2020-11-09 20:42 - 000000000 ____D C:\WINDOWS\Setup
2020-11-09 20:42 - 2020-11-09 20:42 - 000000000 ____D C:\WINDOWS\OCR
2020-11-09 20:42 - 2020-11-09 20:42 - 000000000 ____D C:\WINDOWS\addins
2020-11-09 20:42 - 2020-11-09 20:42 - 000000000 ____D C:\ProgramData\ssh
2020-11-09 20:41 - 2020-11-21 08:36 - 000705894 _____ C:\WINDOWS\system32\perfh007.dat
2020-11-09 20:41 - 2020-11-21 08:36 - 000142188 _____ C:\WINDOWS\system32\perfc007.dat
2020-11-09 20:41 - 2020-11-09 20:41 - 000306166 _____ C:\WINDOWS\system32\perfi007.dat
2020-11-09 20:41 - 2020-11-09 20:41 - 000040520 _____ C:\WINDOWS\system32\perfd007.dat
2020-11-09 20:41 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\SysWOW64\winrm
2020-11-09 20:41 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\SysWOW64\WCN
2020-11-09 20:41 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\SysWOW64\sysprep
2020-11-09 20:41 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\SysWOW64\slmgr
2020-11-09 20:41 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\SysWOW64\Printing_Admin_Scripts
2020-11-09 20:41 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\SysWOW64\de
2020-11-09 20:41 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\SysWOW64\0409
2020-11-09 20:41 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\system32\winrm
2020-11-09 20:41 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\system32\WCN
2020-11-09 20:41 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\system32\slmgr
2020-11-09 20:41 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\system32\Printing_Admin_Scripts
2020-11-09 20:41 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\system32\de
2020-11-09 20:41 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\system32\0409
2020-11-09 20:41 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\DigitalLocker
2020-11-09 20:41 - 2020-10-09 21:52 - 000835472 _____ (Adobe) C:\WINDOWS\SysWOW64\FlashPlayerApp.exe
2020-11-09 20:41 - 2020-10-09 21:52 - 000179608 _____ (Adobe) C:\WINDOWS\SysWOW64\FlashPlayerCPLApp.cpl
2020-11-09 20:39 - 2020-11-21 12:21 - 000000000 ___HD C:\WINDOWS\ELAMBKUP
2020-11-09 20:39 - 2020-11-21 12:20 - 000000000 ___RD C:\Program Files (x86)
2020-11-09 20:39 - 2020-11-21 08:34 - 000000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2020-11-09 20:39 - 2020-11-21 01:29 - 000000000 ___HD C:\Program Files\WindowsApps
2020-11-09 20:39 - 2020-11-21 01:29 - 000000000 ____D C:\WINDOWS\AppReadiness
2020-11-09 20:39 - 2020-11-17 12:02 - 000000000 ____D C:\WINDOWS\Registration
2020-11-09 20:39 - 2020-11-11 14:30 - 000000000 ____D C:\WINDOWS\SysWOW64\setup
2020-11-09 20:39 - 2020-11-11 14:30 - 000000000 ____D C:\WINDOWS\SystemResources
2020-11-09 20:39 - 2020-11-11 14:30 - 000000000 ____D C:\WINDOWS\system32\setup
2020-11-09 20:39 - 2020-11-11 14:30 - 000000000 ____D C:\WINDOWS\system32\oobe
2020-11-09 20:39 - 2020-11-11 14:30 - 000000000 ____D C:\WINDOWS\system32\migwiz
2020-11-09 20:39 - 2020-11-11 14:30 - 000000000 ____D C:\WINDOWS\bcastdvr
2020-11-09 20:39 - 2020-11-11 14:30 - 000000000 ____D C:\Program Files\Windows Defender Advanced Threat Protection
2020-11-09 20:39 - 2020-11-10 07:53 - 000000000 ___SD C:\WINDOWS\Downloaded Program Files
2020-11-09 20:39 - 2020-11-10 07:53 - 000000000 ___RD C:\WINDOWS\Offline Web Pages
2020-11-09 20:39 - 2020-11-10 06:49 - 000000000 ____D C:\Program Files\Windows Defender
2020-11-09 20:39 - 2020-11-10 06:48 - 000000000 ____D C:\WINDOWS\appcompat
2020-11-09 20:39 - 2020-11-10 01:56 - 000000000 ___RD C:\WINDOWS\ImmersiveControlPanel
2020-11-09 20:39 - 2020-11-10 01:56 - 000000000 ____D C:\WINDOWS\system32\WinBioPlugIns
2020-11-09 20:39 - 2020-11-10 01:56 - 000000000 ____D C:\WINDOWS\ShellExperiences
2020-11-09 20:39 - 2020-11-10 01:56 - 000000000 ____D C:\WINDOWS\PolicyDefinitions
2020-11-09 20:39 - 2020-11-10 01:49 - 000000000 ____D C:\WINDOWS\ServiceState
2020-11-09 20:39 - 2020-11-10 01:32 - 000000000 ____D C:\WINDOWS\system32\WinBioDatabase
2020-11-09 20:39 - 2020-11-10 01:29 - 000000000 ____D C:\WINDOWS\system32\spool
2020-11-09 20:39 - 2020-11-10 01:29 - 000000000 ____D C:\ProgramData\USOPrivate
2020-11-09 20:39 - 2020-11-10 01:27 - 000000000 ____D C:\WINDOWS\CSC
2020-11-09 20:39 - 2020-11-10 01:27 - 000000000 ____D C:\Program Files\Windows NT
2020-11-09 20:39 - 2020-11-10 01:25 - 000000000 ___RD C:\WINDOWS\PrintDialog
2020-11-09 20:39 - 2020-11-10 01:24 - 000000000 ____D C:\WINDOWS\system32\config\TxR
2020-11-09 20:39 - 2020-11-09 20:43 - 000028672 _____ C:\WINDOWS\system32\config\BCD-Template
2020-11-09 20:39 - 2020-11-09 20:43 - 000000000 ____D C:\WINDOWS\Containers
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ___SD C:\WINDOWS\SysWOW64\F12
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ___SD C:\WINDOWS\SysWOW64\DiagSvcs
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ___SD C:\WINDOWS\system32\F12
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ___SD C:\WINDOWS\system32\dsc
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ___SD C:\WINDOWS\system32\DiagSvcs
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\SysWOW64\oobe
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\SysWOW64\MUI
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\SysWOW64\Dism
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\SysWOW64\Com
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\system32\SystemResetPlatform
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\system32\Sysprep
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\system32\PerceptionSimulation
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\system32\MUI
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\system32\Dism
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\system32\Com
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\IME
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\WINDOWS\Help
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\Program Files\Windows Photo Viewer
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\Program Files\Common Files\System
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\Program Files\Common Files\microsoft shared
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\Program Files (x86)\Windows Photo Viewer
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\Program Files (x86)\Windows NT
2020-11-09 20:39 - 2020-11-09 20:41 - 000000000 ____D C:\Program Files (x86)\Windows Defender
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 __SHD C:\WINDOWS\BitLockerDiscoveryVolumeContents
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 __SHD C:\Program Files\Windows Sidebar
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 __SHD C:\Program Files (x86)\Windows Sidebar
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 __RSD C:\WINDOWS\Media
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 __RHD C:\Users\Public\Libraries
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ___SD C:\WINDOWS\SysWOW64\Nui
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ___SD C:\WINDOWS\SysWOW64\Configuration
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ___SD C:\WINDOWS\system32\UNP
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ___SD C:\WINDOWS\system32\Nui
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ___SD C:\WINDOWS\system32\Configuration
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ___SD C:\WINDOWS\system32\AppV
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ___HD C:\WINDOWS\LanguageOverlayCache
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\Web
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\WaaS
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\Vss
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\tracing
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\TAPI
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\WinMetadata
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\SMI
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\ras
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\PerceptionSimulation
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\NDF
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\Msdtc
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\migwiz
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\Macromed
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\Keywords
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\Ipmi
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\InputMethod
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\inetsrv
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\IME
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\icsxml
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\GroupPolicyUsers
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\GroupPolicy
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\downlevel
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\Bthprops
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\AppLocker
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\AdvancedInstallers
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SystemApps
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\WinMetadata
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\winevt
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\ti-et
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\ta-lk
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\ta-in
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\si-lk
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\ShellExperiences
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\Sgrm
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\SecureBootUpdates
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\ras
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\ProximityToast
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\PointOfService
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\osa-Osge-001
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\NDF
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\my-mm
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\MsDtc
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\Macromed
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\Keywords
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\Ipmi
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\InputMethod
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\inetsrv
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\IME
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\icsxml
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\ias
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\Hydrogen
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\GroupPolicyUsers
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\GroupPolicy
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\ff-Adlm-SN
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\DriverState
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\Drivers\DriverData
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\downlevel
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\DDFs
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\ContainerSettingsProviders
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\config\systemprofile
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\config\RegBack
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\config\Journal
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\Bthprops
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\appraiser
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\AppLocker
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\am-et
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\AdvancedInstallers
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\System
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SKB
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\ShellComponents
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\security
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\schemas
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\SchCache
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\Resources
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\rescache
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\RemotePackages
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\Provisioning
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\PLA
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\Performance
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\ModemLogs
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\LiveKernelReports
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\L2Schemas
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\InputMethod
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\IdentityCRL
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\Globalization
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\GameBarPresenceWriter
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\DiagTrack
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\Cursors
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\Branding
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\ProgramData\WindowsHolographicDevices
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\ProgramData\USOShared
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\Program Files\Windows Security
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\Program Files\Windows Portable Devices
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\Program Files\Windows Multimedia Platform
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\Program Files\ModifiableWindowsApps
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\Program Files\Common Files\Services
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\Program Files (x86)\Windows Portable Devices
2020-11-09 20:39 - 2020-11-09 20:39 - 000000000 ____D C:\Program Files (x86)\Windows Multimedia Platform
2020-11-09 20:39 - 2020-11-09 20:38 - 000215943 _____ C:\WINDOWS\SysWOW64\dssec.dat
2020-11-09 20:39 - 2020-11-09 20:38 - 000215943 _____ C:\WINDOWS\system32\dssec.dat
2020-11-09 20:39 - 2020-11-09 20:38 - 000020908 _____ C:\WINDOWS\system32\OEMDefaultAssociations.xml
2020-11-09 20:39 - 2020-11-09 20:38 - 000017635 _____ C:\WINDOWS\system32\Drivers\etc\services
2020-11-09 20:39 - 2020-11-09 20:38 - 000003683 _____ C:\WINDOWS\system32\Drivers\etc\lmhosts.sam
2020-11-09 20:39 - 2020-11-09 20:38 - 000003103 _____ C:\WINDOWS\SysWOW64\mmc.exe.config
2020-11-09 20:39 - 2020-11-09 20:38 - 000003103 _____ C:\WINDOWS\system32\mmc.exe.config
2020-11-09 20:39 - 2020-11-09 20:38 - 000001358 _____ C:\WINDOWS\system32\Drivers\etc\protocol
2020-11-09 20:39 - 2020-11-09 20:38 - 000000858 _____ C:\WINDOWS\system32\DefaultQuestions.json
2020-11-09 20:39 - 2020-11-09 20:38 - 000000741 _____ C:\WINDOWS\SysWOW64\NOISE.DAT
2020-11-09 20:39 - 2020-11-09 20:38 - 000000741 _____ C:\WINDOWS\system32\NOISE.DAT
2020-11-09 20:39 - 2020-11-09 20:38 - 000000407 _____ C:\WINDOWS\system32\Drivers\etc\networks
2020-11-09 20:39 - 2020-11-09 20:38 - 000000219 _____ C:\WINDOWS\system.ini
2020-11-09 20:39 - 2020-11-09 20:38 - 000000092 _____ C:\WINDOWS\win.ini
2020-11-09 20:38 - 2020-11-21 08:36 - 000000000 ____D C:\WINDOWS\INF
2020-11-09 20:35 - 2020-11-21 09:29 - 000000000 ____D C:\WINDOWS\CbsTemp
2020-11-09 20:34 - 2020-11-20 21:56 - 012582912 _____ C:\WINDOWS\system32\config\SYSTEM
2020-11-09 20:34 - 2020-11-20 21:56 - 000524288 _____ C:\WINDOWS\system32\config\DEFAULT
2020-11-09 20:34 - 2020-11-20 21:56 - 000262144 _____ C:\WINDOWS\system32\config\BBI
2020-11-09 20:34 - 2020-11-20 21:56 - 000032768 _____ C:\WINDOWS\system32\config\SECURITY
2020-11-09 20:34 - 2020-11-20 21:55 - 000065536 _____ C:\WINDOWS\system32\config\SAM
2020-11-09 20:34 - 2020-11-20 13:56 - 000032768 _____ C:\WINDOWS\system32\config\ELAM
2020-11-09 20:34 - 2020-11-20 13:46 - 000000000 ____D C:\WINDOWS\servicing
2020-11-09 20:34 - 2020-11-09 20:39 - 000000000 ____D C:\WINDOWS\system32\SMI
2020-11-09 20:33 - 2020-11-09 20:43 - 000000000 ___HD C:\$SysReset

==================== Ein Monat (geänderte) ==================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)


==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse ========

2020-11-19 03:40 - 2020-11-19 23:23 - 000007598 _____ () C:\Users\ELPatron\AppData\Local\Resmon.ResmonCfg

==================== SigCheck ============================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

==================== Ende von FRST.txt ========================
         

Geändert von Stitches (21.11.2020 um 14:19 Uhr) Grund: unsichtbare dateien vergessen

Alt 21.11.2020, 13:39   #2
Stitches
 
Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner - Standard

Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner



Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 21-11-2020
durchgeführt von ELPatron (21-11-2020 14:14:16)
Gestartet von C:\Users\ELPatron\Desktop
Windows 10 Pro Version 2009 19042.630 (X64) (2020-11-10 00:27:22)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1508547662-535294431-1954477923-500 - Administrator - Disabled)
DefaultAccount (S-1-5-21-1508547662-535294431-1954477923-503 - Limited - Disabled)
ELPatron (S-1-5-21-1508547662-535294431-1954477923-1001 - Administrator - Enabled) => C:\Users\ELPatron
Gast (S-1-5-21-1508547662-535294431-1954477923-501 - Limited - Disabled)
WDAGUtilityAccount (S-1-5-21-1508547662-535294431-1954477923-504 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

1xWin (HKU\S-1-5-21-1508547662-535294431-1954477923-1001\...\1xWin) (Version:  - 1xCorp N.V.)
Dashboard (HKLM-x32\...\Western Digital SSD Dashboard) (Version: 3.1.2.5 - Western Digital Corporation)
Discord (HKU\S-1-5-21-1508547662-535294431-1954477923-1001\...\Discord) (Version: 0.0.308 - Discord Inc.)
ENE_QSI_Loki_HAL (HKLM\...\{BDE43F26-5917-44F8-B86A-F1D9A6B80B32}) (Version: 1.0.3.0 - ENE TECHNOLOGY INC.) Hidden
ENE_QSI_Loki_HAL (HKLM-x32\...\{205ef3a8-937b-43cb-90fc-2f58f71408d8}) (Version: 1.0.3.0 - ENE TECHNOLOGY INC.) Hidden
Exodus (HKU\S-1-5-21-1508547662-535294431-1954477923-1001\...\exodus) (Version: 20.11.5 - Exodus Movement Inc)
Logitech G HUB (HKLM\...\{521c89be-637f-4274-a840-baaf7460c2b2}) (Version:  - Logitech)
Malwarebytes version 4.2.3.96 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 4.2.3.96 - Malwarebytes)
Microsoft Edge (HKLM-x32\...\Microsoft Edge) (Version: 86.0.622.69 - Microsoft Corporation)
Microsoft Edge Update (HKLM-x32\...\Microsoft Edge Update) (Version: 1.3.137.99 - )
Microsoft Visual C++ 2015-2019 Redistributable (x64) - 14.24.28127 (HKLM-x32\...\{282975d8-55fe-4991-bbbb-06a72581ce58}) (Version: 14.24.28127.4 - Microsoft Corporation)
Microsoft Visual C++ 2015-2019 Redistributable (x86) - 14.24.28127 (HKLM-x32\...\{e31cb1a4-76b5-46a5-a084-3fa419e82201}) (Version: 14.24.28127.4 - Microsoft Corporation)
Mozilla Firefox 83.0 (x64 de) (HKLM\...\Mozilla Firefox 83.0 (x64 de)) (Version: 83.0 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 82.0.3 - Mozilla)
NVAPI Monitor plugin for NvContainer (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvContainer.NvapiMonitor) (Version: 1.27 - NVIDIA Corporation) Hidden
NVIDIA FrameView SDK 1.1.4923.29214634 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_FrameViewSdk) (Version: 1.1.4923.29214634 - NVIDIA Corporation)
NVIDIA GeForce Experience 3.20.5.70 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 3.20.5.70 - NVIDIA Corporation)
NVIDIA Grafiktreiber 457.30 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 457.30 - NVIDIA Corporation)
NVIDIA HD-Audiotreiber 1.3.38.35 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver) (Version: 1.3.38.35 - NVIDIA Corporation)
NVIDIA PhysX-Systemsoftware 9.19.0218 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX) (Version: 9.19.0218 - NVIDIA Corporation)
NVIDIA USBC Driver 1.45.831.832 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_USBC) (Version: 1.45.831.832 - NVIDIA Corporation)
NvModuleTracker (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvModuleTracker.Driver) (Version: 6.14.24033.38719 - NVIDIA Corporation) Hidden
Russian Fishing 4 (HKU\S-1-5-21-1508547662-535294431-1954477923-1001\...\de.rf4game.rf4_launcher_de) (Version: 4.0.15113 - Russian Fishing LLC)
Steam (HKLM-x32\...\Steam) (Version: 2.10.91.91 - Valve Corporation)

Packages:
=========
Microsoft Advertising SDK for XAML -> C:\Program Files\WindowsApps\Microsoft.Advertising.Xaml_10.1811.1.0_x64__8wekyb3d8bbwe [2020-11-11] (Microsoft Corporation) [MS Ad]
Microsoft Advertising SDK for XAML -> C:\Program Files\WindowsApps\Microsoft.Advertising.Xaml_10.1811.1.0_x86__8wekyb3d8bbwe [2020-11-11] (Microsoft Corporation) [MS Ad]
NVIDIA Control Panel -> C:\Program Files\WindowsApps\NVIDIACorp.NVIDIAControlPanel_8.1.958.0_x64__56jybvy8sckqj [2020-11-10] (NVIDIA Corp.)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2020-11-21] (Malwarebytes Corporation -> Malwarebytes)
ContextMenuHandlers5: [NvCplDesktopContext] -> {3D1975AF-48C6-4f8e-A182-BE0E08FA86A9} => C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_5dcb5bbf5c3edcf2\nvshext.dll [2020-11-07] (NVIDIA Corporation -> NVIDIA Corporation)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2020-11-21] (Malwarebytes Corporation -> Malwarebytes)

==================== Codecs (Nicht auf der Ausnahmeliste) ====================

==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

ShortcutWithArgument: C:\Users\ELPatron\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Microsoft Edge.lnk -> C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe (Microsoft Corporation) -> --profile-directory="Profile 1"

==================== Geladene Module (Nicht auf der Ausnahmeliste) =============

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) ========

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ==================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) =================

==================== Internet Explorer (Nicht auf der Ausnahmeliste) ==========

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-1508547662-535294431-1954477923-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

==================== Hosts Inhalt: =========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2020-11-09 20:39 - 2020-11-20 13:00 - 000000824 _____ C:\WINDOWS\system32\drivers\etc\hosts

==================== Andere Bereiche ===========================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1508547662-535294431-1954477923-1001\Control Panel\Desktop\\Wallpaper -> c:\windows\web\wallpaper\theme1\img13.jpg
DNS Servers: 192.168.2.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )
 ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

HKLM\...\StartupApproved\Run: => "BdVpnApp"
HKU\S-1-5-21-1508547662-535294431-1954477923-1001\...\StartupApproved\Run: => "Steam"

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [WFDPRINT-DAFWSD-Out-Active] => (Block) C:\WINDOWS\system32\dashost.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [WFDPRINT-SPOOL-Out-Active] => (Block) C:\WINDOWS\system32\spoolsv.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [WFDPRINT-SCAN-Out-Active] => (Block) C:\WINDOWS\system32\svchost.exe (Microsoft Windows Publisher -> Microsoft Corporation)
FirewallRules: [Microsoft-Windows-WLANSvc-ASP-CP-In] => (Block) C:\WINDOWS\system32\svchost.exe (Microsoft Windows Publisher -> Microsoft Corporation)
FirewallRules: [Microsoft-Windows-WLANSvc-ASP-CP-Out] => (Block) C:\WINDOWS\system32\svchost.exe (Microsoft Windows Publisher -> Microsoft Corporation)
FirewallRules: [{57A41B18-AF9A-4AB7-9E39-441BF880A6CA}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe (NVIDIA Corporation -> NVIDIA Corporation)
FirewallRules: [{94E87475-AD1E-4543-8326-CE82BC026258}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe (NVIDIA Corporation -> NVIDIA Corporation)
FirewallRules: [{E89B7E89-0471-4874-8E53-8AFDD3FAB5C1}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe (NVIDIA Corporation -> NVIDIA Corporation)
FirewallRules: [{7435917C-CC6F-4645-A3EB-8C6108B0AD6A}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe (NVIDIA Corporation -> NVIDIA Corporation)
FirewallRules: [{38C0A0D1-0A4F-4450-AFC3-D2CA1FDFFB74}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe (NVIDIA Corporation -> NVIDIA Corporation)
FirewallRules: [{95B7F09C-8488-4E76-8593-30837DB3A35F}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe (NVIDIA Corporation -> NVIDIA Corporation)
FirewallRules: [{317763F2-D370-4070-8D24-57632777C071}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe (Valve -> Valve Corporation)
FirewallRules: [{BA487597-C2FF-44AE-8E35-49A3EEED2E18}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe (Valve -> Valve Corporation)
FirewallRules: [{E4E2F321-6416-4422-AA5E-1A9EED36CFD2}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe (Valve -> Valve Corporation)
FirewallRules: [{297C9A1E-12D0-41CA-AD5F-B553E6FF56F2}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe (Valve -> Valve Corporation)
FirewallRules: [{F9532E58-D9C7-4D1D-A312-35BE9303B473}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Serious Sam 4\Bin\x64\Sam4.exe (GHI Media LLC -> Croteam) [Datei ist nicht signiert]
FirewallRules: [{55688A04-37E2-42E3-BE08-DBD96170985B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Serious Sam 4\Bin\x64\Sam4.exe (GHI Media LLC -> Croteam) [Datei ist nicht signiert]
FirewallRules: [{626D8A33-EB94-4C9F-B2FA-41DC03913BA1}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{1ECC3CE4-8542-40CF-AAA1-F9FBBCDFEAF7}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [TCP Query User{EF9A407E-AA72-4B89-A694-77AE247A2ED6}C:\program files\lghub\lghub_agent.exe] => (Allow) C:\program files\lghub\lghub_agent.exe (Logitech Inc -> Logitech, Inc.)
FirewallRules: [UDP Query User{4BCA5993-D7E6-4EC2-8539-0A593D736D1B}C:\program files\lghub\lghub_agent.exe] => (Allow) C:\program files\lghub\lghub_agent.exe (Logitech Inc -> Logitech, Inc.)

==================== Wiederherstellungspunkte =========================

13-11-2020 02:39:59 Geplanter Prüfpunkt
20-11-2020 18:02:05 Microsoft Visual C++ 2015-2019 Redistributable (x64) - 14.24.28127
20-11-2020 18:02:20 Microsoft Visual C++ 2017 Redistributable (x64) - 14.13.26020

==================== Fehlerhafte Geräte im Gerätemanager ============

Name: TAP-Windows Adapter V9
Description: TAP-Windows Adapter V9
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: TAP-Windows Provider V9
Service: tap0901
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Fehlereinträge in der Ereignisanzeige: ========================

Applikationsfehler:
==================
Error: (11/20/2020 01:56:15 PM) (Source: SecurityCenter) (EventID: 17) (User: )
Description: Das Sicherheitscenter konnte den Aufrufer nicht überprüfen. Der Fehler %1 ist aufgetreten.

Error: (11/20/2020 04:04:45 AM) (Source: SecurityCenter) (EventID: 17) (User: )
Description: Das Sicherheitscenter konnte den Aufrufer nicht überprüfen. Der Fehler %1 ist aufgetreten.

Error: (11/20/2020 03:48:54 AM) (Source: SecurityCenter) (EventID: 17) (User: )
Description: Das Sicherheitscenter konnte den Aufrufer nicht überprüfen. Der Fehler %1 ist aufgetreten.

Error: (11/20/2020 03:36:30 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_DispBrokerDesktopSvc, Version: 10.0.19041.546, Zeitstempel: 0x058e175a
Name des fehlerhaften Moduls: combase.dll, Version: 10.0.19041.572, Zeitstempel: 0x654b189d
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000370e4
ID des fehlerhaften Prozesses: 0x968
Startzeit der fehlerhaften Anwendung: 0x01d6bed5523e60fe
Pfad der fehlerhaften Anwendung: C:\WINDOWS\system32\svchost.exe
Pfad des fehlerhaften Moduls: C:\WINDOWS\System32\combase.dll
Berichtskennung: 00158d7d-d57e-408f-8a45-eb1aeaada9a2
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (11/20/2020 01:39:33 AM) (Source: SecurityCenter) (EventID: 17) (User: )
Description: Das Sicherheitscenter konnte den Aufrufer nicht überprüfen. Der Fehler %1 ist aufgetreten.

Error: (11/19/2020 11:31:18 PM) (Source: SecurityCenter) (EventID: 17) (User: )
Description: Das Sicherheitscenter konnte den Aufrufer nicht überprüfen. Der Fehler %1 ist aufgetreten.

Error: (11/19/2020 11:00:06 PM) (Source: SecurityCenter) (EventID: 17) (User: )
Description: Das Sicherheitscenter konnte den Aufrufer nicht überprüfen. Der Fehler %1 ist aufgetreten.

Error: (11/19/2020 06:44:34 AM) (Source: SecurityCenter) (EventID: 17) (User: )
Description: Das Sicherheitscenter konnte den Aufrufer nicht überprüfen. Der Fehler %1 ist aufgetreten.


Systemfehler:
=============
Error: (11/21/2020 01:42:47 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Treiber konnte nicht geladen werden.

Error: (11/21/2020 01:42:47 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: \??\C:\Users\ELPatron\AppData\Local\Temp\ehdrv.sys

Error: (11/21/2020 01:42:47 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Treiber konnte nicht geladen werden.

Error: (11/21/2020 01:42:47 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: \??\C:\Users\ELPatron\AppData\Local\Temp\ehdrv.sys

Error: (11/21/2020 01:42:47 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Treiber konnte nicht geladen werden.

Error: (11/21/2020 01:42:47 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: \??\C:\Users\ELPatron\AppData\Local\Temp\ehdrv.sys

Error: (11/21/2020 01:42:47 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Treiber konnte nicht geladen werden.

Error: (11/21/2020 01:42:47 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: \??\C:\Users\ELPatron\AppData\Local\Temp\ehdrv.sys


Windows Defender:
===================================
Date: 2020-11-21 09:14:30.3780000Z
Description: 
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=Program:Win32/Uwasson.A!ml&threatid=251745&enterprise=0
Name: Program:Win32/Uwasson.A!ml
ID: 251745
Schweregrad: Niedrig
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\Users\ELPatron\Desktop\monero-gui-win-x64-v0.17.1.4\monero-gui-v0.17.1.4\extras\monero-gen-trusted-multisig.exe
Erkennungsursprung: Lokaler Computer
Erkennungstype: FastPath
Erkennungsquelle: Echtzeitschutz
Benutzer: DESKTOP-BHE5A1O\ELPatron
Prozessname: C:\Windows\explorer.exe
Sicherheitsversion: AV: 1.327.1281.0, AS: 1.327.1281.0, NIS: 1.327.1281.0
Modulversion: AM: 1.1.17600.5, NIS: 1.1.17600.5

Date: 2020-11-21 09:14:29.7360000Z
Description: 
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=PUA:Win32/CoinMiner&threatid=227033&enterprise=0
Name: PUA:Win32/CoinMiner
ID: 227033
Schweregrad: Niedrig
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\Users\ELPatron\Desktop\monero-gui-win-x64-v0.17.1.4\monero-gui-v0.17.1.4\extras\monero-blockchain-import.exe
Erkennungsursprung: Lokaler Computer
Erkennungstype: FastPath
Erkennungsquelle: Echtzeitschutz
Benutzer: DESKTOP-BHE5A1O\ELPatron
Prozessname: C:\Windows\explorer.exe
Sicherheitsversion: AV: 1.327.1281.0, AS: 1.327.1281.0, NIS: 1.327.1281.0
Modulversion: AM: 1.1.17600.5, NIS: 1.1.17600.5

Date: 2020-11-21 09:14:28.7470000Z
Description: 
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=PUA:Win32/Puasson.A!ac&threatid=265497&enterprise=0
Name: PUA:Win32/Puasson.A!ac
ID: 265497
Schweregrad: Niedrig
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\Users\ELPatron\Desktop\monero-gui-win-x64-v0.17.1.4\monero-gui-v0.17.1.4\extras\monero-blockchain-ancestry.exe; file:_C:\Users\ELPatron\Desktop\monero-gui-win-x64-v0.17.1.4\monero-gui-v0.17.1.4\extras\monero-blockchain-prune-known-spent-data.exe
Erkennungsursprung: Lokaler Computer
Erkennungstype: FastPath
Erkennungsquelle: System
Benutzer: NT-AUTORITÄT\SYSTEM
Prozessname: C:\Windows\explorer.exe
Sicherheitsversion: AV: 1.327.1281.0, AS: 1.327.1281.0, NIS: 1.327.1281.0
Modulversion: AM: 1.1.17600.5, NIS: 1.1.17600.5

Date: 2020-11-21 09:14:28.0720000Z
Description: 
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=PUA:Win32/Caypnamer.A!ml&threatid=274600&enterprise=0
Name: PUA:Win32/Caypnamer.A!ml
ID: 274600
Schweregrad: Niedrig
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\Users\ELPatron\Desktop\monero-gui-win-x64-v0.17.1.4\monero-gui-v0.17.1.4\extras\monero-blockchain-mark-spent-outputs.exe
Erkennungsursprung: Lokaler Computer
Erkennungstype: FastPath
Erkennungsquelle: Echtzeitschutz
Benutzer: DESKTOP-BHE5A1O\ELPatron
Prozessname: C:\Windows\explorer.exe
Sicherheitsversion: AV: 1.327.1281.0, AS: 1.327.1281.0, NIS: 1.327.1281.0
Modulversion: AM: 1.1.17600.5, NIS: 1.1.17600.5

Date: 2020-11-21 09:14:27.2330000Z
Description: 
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=PUA:Win32/Puasson.A!ac&threatid=265497&enterprise=0
Name: PUA:Win32/Puasson.A!ac
ID: 265497
Schweregrad: Niedrig
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\Users\ELPatron\Desktop\monero-gui-win-x64-v0.17.1.4\monero-gui-v0.17.1.4\extras\monero-blockchain-prune-known-spent-data.exe
Erkennungsursprung: Lokaler Computer
Erkennungstype: FastPath
Erkennungsquelle: System
Benutzer: NT-AUTORITÄT\SYSTEM
Prozessname: C:\Windows\explorer.exe
Sicherheitsversion: AV: 1.327.1281.0, AS: 1.327.1281.0, NIS: 1.327.1281.0
Modulversion: AM: 1.1.17600.5, NIS: 1.1.17600.5

==================== Speicherinformationen =========================== 

BIOS: American Megatrends Inc. 5603 07/28/2020
Hauptplatine: ASUSTeK COMPUTER INC. PRIME X470-PRO
Prozessor: AMD Ryzen 7 2700 Eight-Core Processor 
Prozentuale Nutzung des RAM: 30%
Installierter physikalischer RAM: 16301.7 MB
Verfügbarer physikalischer RAM: 11350.21 MB
Summe virtueller Speicher: 18733.7 MB
Verfügbarer virtueller Speicher: 12539.72 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:930.9 GB) (Free:722.48 GB) NTFS

\\?\Volume{e291e879-80fd-43ba-9723-d94062df7679}\ () (Fixed) (Total:0.5 GB) (Free:0.08 GB) NTFS
\\?\Volume{3ad4996a-256f-418e-9da3-cc622ac9f36b}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

==================== MBR & Partitionstabelle ====================

==========================================================
Disk: 0 (Size: 931.5 GB) (Disk ID: 595F457F)

Partition: GPT.

==================== Ende von Addition.txt =======================
         

Code:
ATTFilter
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 21.11.20
Scan-Zeit: 12:33
Protokolldatei: 500fce8a-2bed-11eb-bf8f-0c9d9283e11f.json

-Softwaredaten-
Version: 4.2.3.96
Komponentenversion: 1.0.1104
Version des Aktualisierungspakets: 1.0.33204
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19041.630)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-BHE5A1O\ELPatron

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 271577
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 1 Min., 20 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         
__________________


Geändert von Stitches (21.11.2020 um 14:21 Uhr) Grund: unsichtbare dateien vergessen

Alt 21.11.2020, 17:38   #3
M-K-D-B
/// TB-Ausbilder
 
Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner - Standard

Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner







Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.




Zitat:
ich habe seit einem Jahr massive Probleme nach einem Hack, habe Windows schon unzählige Male per Clean Install neu installiert, leider hat nichts geholfen.
Was genau meinst du mit Hack? Was ist deiner Meinung nach genau passiert?



Zitat:
Scheinbar ist das Mainboard betroffen, die Grafikkarte, gefühlt alles.
Es liegen gefälschte Zertifikate vor, Trojaner, Maleware, DNS Routing, scheinbar alles.

Es sind verschiedene Partitionen vorhanden die ich nicht löschen kann, Viren werden oft angezeigt, und ich bekomme scheinbar ein falsches Routing.

Es kann auch sein das die Ethernet-Adapter betroffen sind.
Gibt es Belege (Logdateien mit Funden) für die Malware oder die anderen "Veränderungen", die du beschrieben hast?
Bist du Experte in Sachen Mainboard / Graka / Ethernet und kannst nachweisen, dass diese manipuliert wurden? So eine Malware gibt es nicht.
Malware infiziert weder das Mainboard, noch die Graka.



Zitat:
Damals als das System/Netzwerk infiziert wurde, gingen mir 1 Laptop sowie 2 Handys kaputt.
Malware zerstört keine Rechner.



Zitat:
Scheinbar wird hier mit Powershell Scripten gearbeitet, ich habe oft keine Erlaubnis Dateien zu öffnen und es wurden schon mehrmals dubiose Nutzer mit erhöhten Rechten mir übergeordnet.
Das mit PS ist eine Vermutung? Ich sehe keine ungewöhnlichen Nutzer.




Zitat:
Bis zum letzten Clean Install habe ich Bitdefender Total Security genutzt, nichts hat geholfen.
Keine Ahnung, was du unter einem "Clean Install" verstehst. Die letzte Installation des Systems lässt auf den 09.11. schließen.
Bitdefender hast du aber am 17.11. installiert, daher ist deine Aussage schlichtweg falsch.
Hättest du eine saubere Neuinstallation (dabei kannst du auch alle Partitionen löschen lassen) durchgeführt, hätten wir hier ein blankes Windows.
Dazu kann man, wenn wirklich das Netzwerk betroffen wäre, den Router zurücksetzen und anschließend die aktuellste Firmware installieren.



Zitat:
2020-11-12 18:29 - 2020-11-12 19:24 - 000000000 ____D C:\ProgramData\bitmonero
2020-11-12 17:12 - 2020-11-12 17:12 - 000000000 ____D C:\ProgramData\.shared-ringdb
2020-11-12 17:09 - 2020-11-12 17:09 - 000000000 ____D C:\Users\ELPatron\AppData\Roaming\monero-wallet-gui
2020-11-12 17:08 - 2020-11-12 17:08 - 000000000 ____D C:\Users\ELPatron\AppData\Local\monero-project
2020-11-12 16:55 - 2020-11-12 16:55 - 000000000 ____D C:\Users\ELPatron\AppData\Local\mymonero-updater
Welchen Grund gibt es, dass du deinen Rechner zumüllst? Willst du deinen Rechner absichtlich verseuchen? Das solltest du entfernen.

Die Funde von WD sind hierzu eindeutig:
Zitat:
Name: Program:Win32/Uwasson.A!ml
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\Users\ELPatron\Desktop\monero-gui-win-x64-v0.17.1.4\monero-gui-v0.17.1.4\extras\monero-gen-trusted-multisig.exe
Von Minern kann ich nur abraten. Aufwand/Nutzen stehen in keinem Verhältnis.... zudem weiß man selten, was genau diese Software wirklich macht.
__________________
__________________

Geändert von M-K-D-B (21.11.2020 um 17:48 Uhr)

Alt 21.11.2020, 22:39   #4
Stitches
 
Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner - Standard

Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner



Hallo Matthias,
ich weiß das hört sich alles weit hergeholt her, aber ich werde dir deine Fragen beantworten und genaueres erläutern.

Zitat:
Was genau meinst du mit Hack? Was ist deiner Meinung nach genau passiert?
Es war vor ca fast genau 1 Jahr, als eine "Freundin" sich an meinem PC zu schaffen machte. Als ich den Raum betrat, versuchte Sie fluchtartig wegzurennen. Dabei flog ihr ein USB Stick aus der Hand.

Als ich auf den Bildschirm schaute, war dort Paint geöffnet, mit einer Art Anleitung, ich konnte einen Teil davon lesen, darin stand wie sie die Netzwerkadaptereigenschaften sowie einige andere DNS/Routing bezogene Sachen zu verstellen hätte.

Da ich sie mitten im Vorgang erwischte, gelang ihr scheinbar nicht komplett alles, scheinbar wurde versucht dass eine permanente Remote/LRPC Verbindung aufgesetzt wurde.

Die Freundin, im selben Haushalt lebend, meinte das sie nichts gemacht hätte, hat aber bewusst schnell den PC über den Netzschalter ausgeschalten. Danach erzählte Sie mir unter Tränen dass Sie gezwungen wurde von einem Ihrer Freunde, der das schon bei mehreren Leuten abgezogen hat.

Danach wurde alles immer komischer. Sie hat nach wie vor physischen Zugang zum PC, leugnet jedoch mittlerweile damals den Vorfall.

Da ich den PC wirklich unzählige Male bereits per Clean Install neu aufgesetzt habe, war es eigentlich direkt wieder als würde ein Rootkit/Script sich vor dem Bootvorgang schon einschreiben.

Zudem kam ein dubioses WLan Netzwerk im Laufe der Zeit hinzu, welches sogar Ihren Namen hatte und über meinen PC lief.

Wie ich zur Annahme komme dass das Routing falsch ist, weil ich mit der Telekom bereits in Kontakt war, ich komme seit 1 Jahr IMMER an der selben Adresse raus, wenn ich meine IP Locate (komischerweise nur 2 Häuser entfernt von Ihrer Schwester!)


Zitat:
Gibt es Belege (Logdateien mit Funden) für die Malware oder die anderen "Veränderungen", die du beschrieben hast?
Bist du Experte in Sachen Mainboard / Graka / Ethernet und kannst nachweisen, dass diese manipuliert wurden? So eine Malware gibt es nicht.
Malware infiziert weder das Mainboard, noch die Graka.
Ich weiß ich komm damit viel zu spät hier her, das auftreten war immer sehr sporadisch, aber ich kann defintiv sagen dass dort gezielt unzählige Angriffe stattfanden und stattfinden.
Mir wurden Admin-Rechte entzogen, es gab durchgehend übergeordnete User und ich konnte die meisten Systempfade garnicht aufrufen, da mir das untersagt ist/war.

Ich habe im Laufe der Zeit einige Powershell Scripte gefunden, auch auf einem USB-Stick von Ihr sowie auf einer SD-Karte. Deswegen kann ich zu 100% sagen, das eindeutig irgendetwas injected wurde, beim jedem Clean Install habe ich alle Partitonen gelöscht.

Problem daran:
Es ist auf der SSD Speicherplatz hinterlegt, der nicht! zugreifbar ist und nicht mit gewhiped wurde. Habe noch keinen Weg gefunden zu diesem Speicher auf der SSD zu gelangen.


Zitat:
Damals als das System/Netzwerk infiziert wurde, gingen mir 1 Laptop sowie 2 Handys kaputt.
------------
Malware zerstört keine Rechner.
Den Laptop hatte Sie 1 mal in Benutzung (hab nicht gesehen was sie gemacht hat). Danach ging mir die Festplatte drauf, da scheinbar alles auf 100% lief, CPU Usage usw, was auch auf diesem PC hier schon vorkam aber glücklicherweiße durch mich gestoppt wurde.
Die Handys wurden mit Odin geflashed, scheinbar hat Sie ein falsches Custom-ROM verwendet und seitdem steckt es in einem nicht beendbaren Bootloop.

Ich möchte dich bitten, mich ernst zu nehmen, ich habe Ahnung, "Experte" kann ich mich aber nicht nennen.
Ich kann nur soviel sagen, dass PC schon seit Kindheit mein Leben ist, der PC gerade mal 1 Jahr alt ist und ich ihn selbst zusammengebaut habe, Kosten 2400€+, deswegen würde ich gerne den PC und alles sauber bekommen.

Auf die Idee, das mit der Grafikkarte etwas nicht stimmt, kam ich neulich als ich sie zur Reinigung herausnahm und die PCI-E (4 Pin und 3 Pin) abklemmte. Zudem habe ich neue Wärmeleitpaste auf den CPU-Sockel aufgetragen.
Nach dem erfolgten säubern, baute ich diese wieder ein, und Wunder ich konnte plötzlich endlich die Gerätesicherheit nutzen!
TPM an! Sicherer Start an! Zuvor unmöglich gewesen.

Als ich ziemlich am Anfang nach dem Hack den ca 3. Clean Install machte, habe ich versucht es über ein Microsoft-Konto zu machen, statt einem Lokalen. Keinen Restart später, sollte ich statt eines Passworts eine PIN eingeben, welche ich nie vergeben habe.
In der Zeit war nur ich am PC.

Einige Beispiele die immer wieder nach Clean-Installs auftraten:
Druckerwarteschlange war "komisch", als ich den Drucker anmachte, kamen mir 4 Seiten raus, die alle meine Logins aus Firefox beinhalteten.

Der erste Hack war die reine Hölle. Ich habe 3 Monate gebraucht, bis ich wieder Zugriff auf all meine Accounts hatte. Alles weg, da ja auch der Laptop sowie Handys angegriffen wurden. Alles per Hand, da bin ich mir sicher, das meine liebe Freundin da mächtig Kacke gebaut hat, wie Sie selbst damals sagte.

Zudem schien der PC eine Zeit lang als VM zu laufen, was mich vollkommen schockierte.
Ich bin einfach schon abgestumpft und habe gerne über offensichtlich manipulierte Sachen hinweggeschaut.

Es lief oder läuft auch, was ich absolut nicht! verstehe, eine Partition mit großem C:// und eine andere!!! mit kleinem c://

Wenn ich etwas gemacht habe, wird/wurde in diversen Ordnern per Log direkt festgehalten was geöffnet, geändert usw wurde.

Windows Updates funktionieren fast nie, manchmal habe ich die Vermutung dass der PC eingestellt ist wie Schul-PC´s, bzw Kiosk-Mode.

Das der PC infiziert ist kann ich wirklich zu 99.99% garantieren.


Zitat:
Keine Ahnung, was du unter einem "Clean Install" verstehst. Die letzte Installation des Systems lässt auf den 09.11. schließen.
Ich nehme an du meinst 09.11. dieses Jahr, da der PC letztes Jahr ca am 20.12.19 gehackt wurde.
Selbst nach dem aktuellen Clean-Install, waren (hab sie gelöscht, bringt aber nichts) oder sind (meistens in System-Ordner) genau das Datum des Hacks, ergo 2019 deklariert, indem Ordner sich dann Powershell usw befanden, und das war eigentlich jedes mal so.

Zitat:
Dazu kann man, wenn wirklich das Netzwerk betroffen wäre, den Router zurücksetzen und anschließend die aktuellste Firmware installieren.
Hat bereits stattgefunden, habe das auch mit der Telekom besprochen..


Zitat:
2020-11-12 18:29 - 2020-11-12 19:24 - 000000000 ____D C:\ProgramData\bitmonero
2020-11-12 17:12 - 2020-11-12 17:12 - 000000000 ____D C:\ProgramData\.shared-ringdb
2020-11-12 17:09 - 2020-11-12 17:09 - 000000000 ____D C:\Users\ELPatron\AppData\Roaming\monero-wallet-gui
2020-11-12 17:08 - 2020-11-12 17:08 - 000000000 ____D C:\Users\ELPatron\AppData\Local\monero-project
2020-11-12 16:55 - 2020-11-12 16:55 - 000000000 ____D C:\Users\ELPatron\AppData\Local\mymonero-updater
Wurde heute vor dem Log gelöscht und das ist genau die Sache die ich meine, dass sich alles "selbst mitloggt"
Hier mal ein kleiner Auszug, damit Sie sehen können was für ein Schwachsinn auf diesem PC geschieht.

Zitat:
2020-11-12 16:09:17.356 1924 INFO logging contrib/epee/src/mlog.cpp:273 New log categories: *:WARNING,net:FATAL,net.http:FATAL,net.ssl:FATAL,net.p2p:FATAL,net.cn:FATAL,daemon.rpc:FATAL,global:INFO,verify:FATAL,serialization:FATAL,daemon.rpc.p ayment:ERROR,stacktrace:INFO,logging:INFO,msgwriter:INFO
2020-11-12 16:09:17.356 1924 WARNING frontend src/wallet/api/wallet.cpp:412 Logging to "C:\\Users\\ELPatron\\AppData\\Roaming\\monero-wallet-gui\\monero-wallet-gui.log"
2020-11-12 16:09:52.352 1924 ERROR frontend src/wallet/api/wallet.cpp:416 shellItem: SHCreateItemFromParsingName(file:///C:/Users/ELPatron/Documents/Monero/wallets)) failed (Das System kann den angegebenen Pfad nicht finden.)
2020-11-12 16:09:52.358 1924 ERROR frontend src/wallet/api/wallet.cpp:416 shellItem: SHCreateItemFromParsingName(file:///C:/Users/ELPatron/Documents/Monero/wallets)) failed (Das System kann den angegebenen Pfad nicht finden.)
2020-11-12 16:12:07.193 1924 WARNING wallet.wallet2 src/mnemonics/language_base.h:132 Español word 'asa' is shorter than its prefix length, 4
2020-11-12 16:12:07.361 1924 WARNING wallet.wallet2 src/mnemonics/language_base.h:148 Duplicate prefix in EnglishOld word list: some
Kommt mir wortwörtlich Spanisch vor.
Dies ist geschehen durch den offiziellen Monero GUI Wallet der einen integrierten Miner hat, der die Option "Im Hintergrund minen" drin hat. Das habe ich wohl nun von einem Testklick.

Sorry für den vielen Output, ich versuche wirklich alles um Ihnen die Hilfe zu erleichtern, aber das hier ist eine gigantische Hausnummer, und ich nehme Ihnen die Zweifel nicht übel

Eine Frage hab ich noch, was ja meine Theorie mit 2 laufenden OS bzw Logging verstärkt und den unauffindbaren Platz der SSD mit belegen würde

Zitat:
2020-11-12 18:29 - 2020-11-12 19:24 - 000000000 ____D C:\ProgramData\
____D ist scheinbar das kleine "c://", leider ist das zu komplex für mich.
Im Abschluss noch einmal wieso ich von Powershell ausgehe, ihr Ex-Freund ist seit Jahrzehnten im Fraud-Buisness etc aktiv, Ellenlange Vorstrafenakte hat der Herr, hat meine Freundin gezwungen damals dies zu tun, jene hat das schlimmste was einer Frau widerfahren kann durchmachen müssen, weswegen Sie von Angst getrieben war, Ihre Erinnerungen sind leider weg, aber das wundert mich nicht, bei einer Morddrohung sowie sex. Missbrauch...
Das BKA ermittelt gegen Ihn, irgendwie schafft er es immer wieder aus jeder Sache rauszukommen (bis jetzt zumindest!)

Das hier ist leider ein bitterer Beweis, wie böse die Welt sein kann..

Liebe Grüße aus der Oberpfalz


PS:
Zitat:
Zitat:
Name: Program:Win32/Uwasson.A!ml
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\Users\ELPatron\Desktop\monero-gui-win-x64-v0.17.1.4\monero-gui-v0.17.1.4\extras\monero-gen-trusted-multisig.exe
Der Ordner ist längst nicht mehr vorhanden, und wurde heute vor den Logs gelöscht!
Win32/Uwasson.A!ml kam aus dem nichts, scheinbar nutzte jemand die durch das Test-Mining geöffneten Ports, ich hab dafür auch keine andere Erklärung.



EDIT: Wollte eben die Antwort abschicken, werde auch als eingeloggt angezeigt, es kommt jedoch:
Sie haben für diese Aktion nicht die benötigte Berechtigung. Bitte laden Sie diese Seite erneut und melden Sie sich an, bevor Sie es erneut versuchen.

Zeigt mir auch wieder, wie oft schon im Browser Sachen verstellt wurden, Javascript an/aus trotz noscript und in der config deaktiviert...

Scheinbar will jemand Verhindern das ich hier Hilfe beziehe

Hier AKTUELLE! Screenshots aus C:\Windows\System32
4364 Dateien, die vom Zeitpunkt 2019 sind, aber immernoch auf dem System sind, und das alleine im System32 Ordner...

Anmerkung: Hatte zuvor über Firefox den Screenshot aus dem oberen Post auf Imgur hochgeladen, jetzt kommt eine Fehlermeldung und ich kann dort nichts mehr hochladen, also anderen Picture-Host über Edge benutzt







Und es nimmt kein Ende. Eben konnte diesen Beitrag nicht mehr editieren und sollte mich an die Administration wenden, Nachricht geht jetzt trotzdem durch

Geändert von Stitches (21.11.2020 um 22:42 Uhr) Grund: ...

Alt 22.11.2020, 10:31   #5
M-K-D-B
/// TB-Ausbilder
 
Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner - Standard

Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner



Und wieder sprichst du von einem "Clean Install", was jedoch nicht das gleiche wie eine saubere Neuinstallation zu sein scheint. Ich werde mich jedoch nicht wiederholen... dazu habe ich in meiner letzten Antwort genug geschrieben.

Es ist keine Malware in den Logdateien zu sehen... bis auf diese PUP, die du ja entfernt hast (wie du sagtest). Daher können wir dir leider nicht helfen.


Wenn du weiterhin der Meinung bist, dass Malware auf deinem System ist, welche eine echte Neuinstallation überlebt, dann könnte das zwar theoretisch sein (UEFI-Rootkit)... die Wahrscheinlich hierfür geht aber gegen Null.

In so einem Fall (UEFI-Rootkit) kannst du deinen Rechner wegschmeißen und dir was Neues besorgen.
Und wenn du ganz sicher gehen willst, kaufst du dir auch gleich noch einen neuen Router.


Und wenn du dann alle Geräte ausgetauscht hast, kann da drauf keine Malware sein und du bist dein Problem los.
Solltest du dann nach der Installation der neuen Hardware auch noch weiter fest davon überzeugt sein, dass du Malware auf deinem System hast, dann gehört das in den Bereich Hysterie / Wahnvorstellungen / Paranoia.
In diesem Fall können wir dir leider nicht weiterhelfen.





Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.


 

Themen zu Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner
administrator, cpu, defender, escan, firefox, geforce, grafikkarte, infiziert, internet, löschen, maleware, mozilla, neu, nvidia, ordner, prozesse, registry, rootkit, rundll, scan, security, trojaner, updates, viren, windows, zertifikate



Ähnliche Themen: Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner


  1. Trojaner-EMail mit .doc-Anhang...und draufgeklickt aber Scripts deaktiviert. Und jetzt?
    Log-Analyse und Auswertung - 05.03.2017 (20)
  2. Scripts
    Alles rund um Windows - 02.11.2015 (18)
  3. Win8.1, Browser viel Werbung, Nach Neustart viele Viren -> rootkit?
    Log-Analyse und Auswertung - 02.08.2015 (7)
  4. Nation Zoom Rootkit und chinesische viren
    Plagegeister aller Art und deren Bekämpfung - 29.12.2013 (15)
  5. Rechner von Freundin in Ukraine verseucht> rootkit, viren, und was noch?
    Log-Analyse und Auswertung - 07.02.2013 (26)
  6. Verstecke Scripts in einem Spiel die schädlich sein können
    Plagegeister aller Art und deren Bekämpfung - 02.01.2013 (0)
  7. CoinMiner in C:\windows\ufa\ufa.exe
    Plagegeister aller Art und deren Bekämpfung - 03.11.2011 (48)
  8. CoinMiner Virus
    Plagegeister aller Art und deren Bekämpfung - 17.10.2011 (3)
  9. Viren- und Trojanerbefall, falsche Google-Weiterleitungen
    Log-Analyse und Auswertung - 08.02.2011 (18)
  10. Uni Seite öffnet nicht nach Meldung von Viren wie TR/Alureon.EC.72 TR/Rootkit.Gen3
    Log-Analyse und Auswertung - 14.11.2010 (19)
  11. Diverse Viren auf Laptop: TR/Trash.Gen // TR/Spy.Agent.blbk // TR/Rootkit.Gen2'
    Mülltonne - 28.10.2010 (1)
  12. Trojaner - Firefox langsam, seltsame Scripts im Quellcode..
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  13. Scripts auf meinen Homepages / Hacker ?
    Plagegeister aller Art und deren Bekämpfung - 28.01.2010 (6)
  14. Suche Test Viren/Rootkit/Bootsektorviren/BrowserHijacker/Würmer
    Plagegeister aller Art und deren Bekämpfung - 01.12.2009 (1)
  15. Notebook zu langsam, neuer IBM Viren? Trojaner? falsche Prozesse?
    Log-Analyse und Auswertung - 12.01.2009 (0)
  16. keine Updates der Anti-Viren Software mehr moeglich, falsche Weiterleitung
    Log-Analyse und Auswertung - 15.12.2008 (0)
  17. Gefährliche Scripts
    Plagegeister aller Art und deren Bekämpfung - 19.11.2004 (1)

Zum Thema Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner - Guten Tag, ich habe seit einem Jahr massive Probleme nach einem Hack, habe Windows schon unzählige Male per Clean Install neu installiert, leider hat nichts geholfen. Scheinbar ist das Mainboard - Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner...
Archiv
Du betrachtest: Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.