Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Thema geschlossen
Alt 29.04.2022, 09:29   #1
Max511
 
Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“ - Standard

Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“



Guten Tag,
Leider wurde in einer Spam E-Mail der htm. Anhang aufgerufen. Beim Öffnen des Anhangs hat direkt der Windows Defender angeschlagen und mir folgende Meldung angezeigt: „Trojan:Script/Woreflint.A!cl“. Beim Schließen der Email in Outlook bekam ich die Meldung, dass die Mail geändert wurde und ob ich diese Änderung speichern möchte. Ich habe Outlook per Task Manager geschlossen.
Der Systemscan von Windows zeigt nach dem löschen der Datei in der Quarantäne keine Funde, trotzdem freue ich mich, wenn sich ein Experte noch das Thema annimmt.
Hier noch die Meldung im Schutzverlauf:
Erkannt: Trojan:Script/Woreflint.A!cl
Datum: 28.04.2022 21:45
Details: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.
Betroffene Elemente: file: C:\Users\Bernd\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\V4MSHS7G\Rechnung_2022-04-25_100103020291_V36334466.html

Die Logdatei des Scan Verlaufs nach Enternen der Datei im Defender:
Code:
ATTFilter
Integritätsbericht für Endpunktschutzclient (Zeit in UTC):
 	Platfformversion: 4.18.2203.5
 	Modulversion: 1.1.19200.5
 	Network Realtime Inspection-Modulversion: 1.1.19200.5
 	Antivirus-Sicherheitsversion: 1.363.1085.0
 	Antispyware-Sicherheitsversion: 1.363.1085.0
 	Network Realtime Inspection-Sicherheitsversion: 1.363.1085.0
 	RTP-Status: Aktiviert
 	OA-Status: Aktiviert
 	IOAV-Status: Aktiviert
 	BM-Status: Aktiviert
 	Letzte Antivirus-Sicherheitsversion: 0
 	Letzte Antispyware-Sicherheitsversion: 0
 	Letzter Schnellscan: 0
 %Letzter vollständiger Scan: 0
 	Erstellungszeit Antivirus-Sicherheitsversion: 28.04.2022 11:39:53
 	Erstellungszeit Antispyware-Sicherheitsversion: 28.04.2022 11:39:54
 	Startzeit letzter Schnellscan: 28.04.2022 20:20:30
 	Endzeit letzter Schnellscan: 28.04.2022 20:23:40
 	Quelle letzter Schnellscane: 1
 	Startzeit letzter vollständiger Scan: 28.04.2022 21:06:43
 	Endzeit letzter vollständiger Scan: 28.04.2022 21:47:06
 	Quelle letzter vollständiger Scan: 1
 	Produktstatus: 0x00080000
         
FRST
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 22-04-2022
durchgeführt von Bernd (Administrator) auf DESKTOP-53IN2JF (MEDION H81H3-EM2) (29-04-2022 09:54:02)
Gestartet von E:\Downloads
Geladene Profile: Bernd
Plattform: Microsoft Windows 10 Home Version 21H1 19043.1645 (X64) Sprache: Deutsch (Deutschland)
Standard-Browser: FF
Start-Modus: Normal

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\splwow64.exe
(C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2203.5-0\MsMpEng.exe ->) (Microsoft Windows Publisher -> Microsoft Corporation) C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2203.5-0\MpCopyAccelerator.exe
(explorer.exe ->) (Microsoft Corporation -> Microsoft Corporation) C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
(explorer.exe ->) (Realtek Semiconductor Corp. -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe <18>
(services.exe ->) (Adobe Inc. -> Adobe Inc.) C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
(services.exe ->) (Microsoft Corporation -> Microsoft Corporation) C:\Program Files\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
(services.exe ->) (Microsoft Windows Publisher -> Microsoft Corporation) C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2203.5-0\MsMpEng.exe
(services.exe ->) (Microsoft Windows Publisher -> Microsoft Corporation) C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2203.5-0\NisSrv.exe
(services.exe ->) (NVIDIA Corporation -> NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe <2>
(shbox.de) [Datei ist nicht signiert] C:\Program Files (x86)\FreePDF_XP\fpassist.exe
(svchost.exe ->) (Microsoft Corporation) C:\Program Files\WindowsApps\Microsoft.549981C3F5F10_4.2203.4603.0_x64__8wekyb3d8bbwe\Cortana.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\dllhost.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\SecurityHealthHost.exe <2>
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\smartscreen.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\SecHealthUI.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [16695816 2016-08-19] (Realtek Semiconductor Corp. -> Realtek Semiconductor)
HKLM-x32\...\Run: [FreePDF Assistant] => C:\Program Files (x86)\FreePDF_XP\fpassist.exe [373760 2014-03-18] (shbox.de) [Datei ist nicht signiert]
HKU\S-1-5-21-1396517758-4013015564-1360406219-1001\...\Run: [Update Plus Player] => "C:\Program Files\VLC Plus Player\vlc.exe" --no-qt-system-tray --no-qt-privacy-ask --qt-start-updatecheck (Keine Datei) <==== ACHTUNG
HKLM\...\Windows x64\Print Processors\Canon MG4200 series Print Processor: C:\Windows\System32\spool\prtprocs\x64\CNMPDB9.DLL [30208 2012-03-26] (Microsoft Windows Hardware Compatibility Publisher -> CANON INC.)
HKLM\...\Print\Monitors\Canon BJ Language Monitor MG4200 series: C:\WINDOWS\system32\CNMLMB9.DLL [389120 2012-03-26] (Microsoft Windows Hardware Compatibility Publisher -> CANON INC.)
HKLM\...\Print\Monitors\Canon BJ Language Monitor MG4200 series XPS: C:\WINDOWS\system32\CNMXLMB9.DLL [392192 2012-03-26] (Microsoft Windows Hardware Compatibility Publisher -> CANON INC.)
HKLM\...\Print\Monitors\Redirected Port: C:\WINDOWS\system32\redmon64.dll [113152 2012-06-21] () [Datei ist nicht signiert]

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) ============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {153871F0-9914-4C76-BADC-8770AD86373F} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Verification => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2203.5-0\MpCmdRun.exe [993000 2022-04-08] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {38C5AB3C-196D-46D3-AD77-52429C5C0787} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
Task: {7400D48E-E710-456F-9FAC-BF7724ECE82E} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2203.5-0\MpCmdRun.exe [993000 2022-04-08] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {8AE27FE6-2145-44D8-93F8-70A242926DD7} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1564424 2021-11-18] (Adobe Inc. -> Adobe Inc.)
Task: {AF809E30-7C10-4CDA-884C-F3E9CF11DC16} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe do-task "308046B0AF4A39CB"
Task: {D0096C64-5C7D-4F1C-80C9-176624BBFDE8} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cleanup => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2203.5-0\MpCmdRun.exe [993000 2022-04-08] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {FB671EE1-B6B9-48BB-B61E-8B4E773699FA} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2203.5-0\MpCmdRun.exe [993000 2022-04-08] (Microsoft Windows Publisher -> Microsoft Corporation)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{5e7972dc-3033-454a-942a-9ea2c282a12e}: [DhcpNameServer] 192.168.178.1

Edge: 
=======
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
Edge DefaultProfile: Default
Edge Profile: C:\Users\Bernd\AppData\Local\Microsoft\Edge\User Data\Default [2022-04-11]

FireFox:
========
FF DefaultProfile: q2krd78v.default
FF ProfilePath: C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\q2krd78v.default [2019-09-30]
FF ProfilePath: C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\u6m8bgyw.default-release [2022-04-29]
FF DownloadDir: E:\Downloads
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin: Adobe Acrobat -> C:\Program Files\Adobe\Acrobat DC\Acrobat\Air\nppdf32.dll [2022-04-07] (Adobe Inc. -> Adobe Systems Inc.)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll [2018-01-24] (NVIDIA Corporation PE Sign v2016 -> NVIDIA Corporation) [Datei ist nicht signiert]
FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll [2018-01-24] (NVIDIA Corporation PE Sign v2016 -> NVIDIA Corporation) [Datei ist nicht signiert]

==================== Dienste (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 AdobeARMservice; C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [169728 2021-11-18] (Adobe Inc. -> Adobe Inc.)
R3 WdNisSvc; C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2203.5-0\NisSrv.exe [3116848 2022-04-08] (Microsoft Windows Publisher -> Microsoft Corporation)
R2 WinDefend; C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2203.5-0\MsMpEng.exe [133544 2022-04-08] (Microsoft Windows Publisher -> Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 BthA2dp; C:\WINDOWS\System32\drivers\BthA2dp.sys [279040 2019-12-07] (Microsoft Corporation) [Datei ist nicht signiert]
S3 BthHFEnum; C:\WINDOWS\System32\drivers\bthhfenum.sys [144896 2019-12-07] (Microsoft Corporation) [Datei ist nicht signiert]
R3 MpKsl354fb0eb; C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{1F8543BD-117A-4B4B-BE87-F6FC1C60F016}\MpKslDrv.sys [137464 2022-04-28] (Microsoft Windows -> Microsoft Corporation)
S0 WdBoot; C:\WINDOWS\System32\drivers\wd\WdBoot.sys [49600 2022-04-08] (Microsoft Windows Early Launch Anti-Malware Publisher -> Microsoft Corporation)
R0 WdFilter; C:\WINDOWS\System32\drivers\wd\WdFilter.sys [443664 2022-04-08] (Microsoft Windows -> Microsoft Corporation)
R3 WdNisDrv; C:\WINDOWS\System32\drivers\wd\WdNisDrv.sys [90384 2022-04-08] (Microsoft Windows -> Microsoft Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat (erstellte) (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2022-04-29 09:53 - 2022-04-29 09:54 - 000000000 ____D C:\FRST
2022-04-24 07:53 - 2022-04-24 07:53 - 000000000 ____D C:\Program Files\PCHealthCheck
2022-04-15 09:44 - 2022-04-15 09:44 - 000162816 _____ C:\WINDOWS\system32\DataStoreCacheDumpTool.exe
2022-04-15 09:44 - 2022-04-15 09:44 - 000048640 _____ (Adobe Systems) C:\WINDOWS\system32\atmlib.dll
2022-04-15 09:44 - 2022-04-15 09:44 - 000039936 _____ (Adobe Systems) C:\WINDOWS\SysWOW64\atmlib.dll
2022-04-15 09:44 - 2022-04-15 09:44 - 000011803 _____ C:\WINDOWS\system32\DrtmAuthTxt.wim
2022-04-15 09:37 - 2022-04-15 09:37 - 000000000 ___HD C:\$WinREAgent
2022-04-14 07:09 - 2022-04-15 20:08 - 000000000 ____D C:\Program Files\Mozilla Firefox

==================== Ein Monat (geänderte) ==================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2022-04-29 09:39 - 2019-09-30 19:44 - 000000000 ____D C:\Users\Bernd\AppData\LocalLow\Mozilla
2022-04-29 09:38 - 2022-02-08 19:39 - 000000000 ____D C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38
2022-04-29 09:37 - 2021-02-02 14:41 - 000000000 ____D C:\Users\Bernd\AppData\Local\FreePDF_XP
2022-04-29 00:35 - 2019-12-07 11:14 - 000000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2022-04-29 00:35 - 2019-09-30 19:49 - 000000000 ____D C:\ProgramData\NVIDIA
2022-04-28 21:45 - 2020-08-04 15:39 - 001632020 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2022-04-28 21:45 - 2019-12-07 16:50 - 000705894 _____ C:\WINDOWS\system32\perfh007.dat
2022-04-28 21:45 - 2019-12-07 16:50 - 000142188 _____ C:\WINDOWS\system32\perfc007.dat
2022-04-28 21:45 - 2019-12-07 11:13 - 000000000 ____D C:\WINDOWS\INF
2022-04-28 21:41 - 2020-08-04 15:41 - 000000006 ____H C:\WINDOWS\Tasks\SA.DAT
2022-04-28 21:41 - 2020-08-04 15:35 - 000008192 ___SH C:\DumpStack.log.tmp
2022-04-28 21:41 - 2020-08-04 15:35 - 000000000 ____D C:\WINDOWS\system32\SleepStudy
2022-04-27 07:57 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\AppReadiness
2022-04-24 07:53 - 2021-11-04 13:59 - 000001146 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk
2022-04-23 20:45 - 2020-07-05 19:21 - 000002436 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk
2022-04-23 20:45 - 2019-12-07 11:14 - 000000000 ___HD C:\Program Files\WindowsApps
2022-04-19 11:34 - 2021-12-12 17:02 - 000003592 _____ C:\WINDOWS\system32\Tasks\OneDrive Reporting Task-S-1-5-21-1396517758-4013015564-1360406219-1001
2022-04-19 11:34 - 2020-08-04 15:41 - 000003380 _____ C:\WINDOWS\system32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1396517758-4013015564-1360406219-1001
2022-04-19 11:34 - 2020-08-04 15:17 - 000002399 _____ C:\Users\Bernd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
2022-04-16 16:02 - 2019-09-30 20:02 - 000000000 ____D C:\WINDOWS\system32\MRT
2022-04-16 16:01 - 2019-09-30 20:01 - 143823848 ____C (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2022-04-15 20:08 - 2020-08-04 15:35 - 000434200 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2022-04-15 20:08 - 2019-12-07 11:03 - 000524288 _____ C:\WINDOWS\system32\config\BBI
2022-04-15 20:08 - 2019-09-30 19:44 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ___RD C:\WINDOWS\ImmersiveControlPanel
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\SysWOW64\Dism
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\SystemResources
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\system32\oobe
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\system32\Dism
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\ShellExperiences
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\Provisioning
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\PolicyDefinitions
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\bcastdvr
2022-04-15 19:40 - 2019-12-07 11:03 - 000000000 ____D C:\WINDOWS\CbsTemp
2022-04-14 08:40 - 2021-10-06 06:43 - 000000000 ____D C:\WINDOWS\system32\Tasks\Mozilla
2022-04-14 08:40 - 2019-09-30 19:44 - 000001005 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk
2022-04-14 07:11 - 2020-08-04 15:41 - 000004562 _____ C:\WINDOWS\system32\Tasks\Adobe Acrobat Update Task
2022-04-14 07:10 - 2021-11-22 11:55 - 000002073 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat DC.lnk
2022-04-10 08:14 - 2020-08-04 15:41 - 000003700 _____ C:\WINDOWS\system32\Tasks\MicrosoftEdgeUpdateTaskMachineUA
2022-04-10 08:14 - 2020-08-04 15:41 - 000003576 _____ C:\WINDOWS\system32\Tasks\MicrosoftEdgeUpdateTaskMachineCore
2022-04-08 08:03 - 2019-09-30 19:33 - 000000000 ____D C:\WINDOWS\system32\Drivers\wd
2022-04-06 08:52 - 2020-11-20 17:06 - 000000000 ____D C:\Program Files\Microsoft Update Health Tools

==================== SigCheck ============================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

==================== Ende von FRST.txt ========================
         
Addition
Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 22-04-2022
durchgeführt von Bernd (29-04-2022 09:55:29)
Gestartet von E:\Downloads
Microsoft Windows 10 Home Version 21H1 19043.1645 (X64) (2020-08-04 13:41:10)
Start-Modus: Normal
==========================================================


==================== Konten: =============================


(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

Administrator (S-1-5-21-1396517758-4013015564-1360406219-500 - Administrator - Disabled)
Bernd (S-1-5-21-1396517758-4013015564-1360406219-1001 - Administrator - Enabled) => C:\Users\Bernd
DefaultAccount (S-1-5-21-1396517758-4013015564-1360406219-503 - Limited - Disabled)
Gast (S-1-5-21-1396517758-4013015564-1360406219-501 - Limited - Disabled)
WDAGUtilityAccount (S-1-5-21-1396517758-4013015564-1360406219-504 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Acrobat DC (64-bit) (HKLM\...\{AC76BA86-1031-1033-7760-BC15014EA700}) (Version: 22.001.20117 - Adobe)
Adobe Digital Editions 4.5 (HKLM-x32\...\Adobe Digital Editions 4.5) (Version: 4.5.10 - Adobe Systems Incorporated)
Breitbandmessung 1.1.9 (HKLM\...\{14607473-30db-509f-94f0-bb7c085c619e}) (Version: 1.1.9 - zafaco GmbH)
Canon IJ Scan Utility (HKLM-x32\...\Canon_IJ_Scan_Utility) (Version:  - ‪Canon Inc.‬)
Canon MG4200 series MP Drivers (HKLM\...\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MG4200_series) (Version: 1.02 - Canon Inc.)
FreePDF (Remove only) (HKLM-x32\...\FreePDF_XP) (Version:  - )
GPL Ghostscript (HKLM-x32\...\GPL Ghostscript 9.20) (Version: 9.20 - Artifex Software Inc.)
Microsoft Edge (HKLM-x32\...\Microsoft Edge) (Version: 100.0.1185.50 - Microsoft Corporation)
Microsoft Office Professional Plus 2010 (HKLM-x32\...\Office14.PROPLUSR) (Version: 14.0.7015.1000 - Microsoft Corporation)
Microsoft OneDrive (HKU\S-1-5-21-1396517758-4013015564-1360406219-1001\...\OneDriveSetup.exe) (Version: 22.065.0412.0004 - Microsoft Corporation)
Microsoft Update Health Tools (HKLM\...\{7B1FCD52-8F6B-4F12-A143-361EA39F5E7C}) (Version: 3.67.0.0 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64)) (Version: 10.0.50903 - Microsoft Corporation)
Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x64) Language Pack - DEU (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64) Language Pack - DEU) (Version: 10.0.50903 - Microsoft Corporation)
Mozilla Firefox (x64 de) (HKLM\...\Mozilla Firefox 99.0.1 (x64 de)) (Version: 99.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 69.0.1 - Mozilla)
NVIDIA 3D Vision Treiber 390.77 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision) (Version: 390.77 - NVIDIA Corporation)
NVIDIA Grafiktreiber 390.77 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 390.77 - NVIDIA Corporation)
NVIDIA HD-Audiotreiber 1.3.36.6 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver) (Version: 1.3.36.6 - NVIDIA Corporation)
PixelfotoExpressSoftware Version 2014.10.0.0 (HKLM-x32\...\{AA84AE9D-8A7F-4682-A236-8222CD5CCAA5}_is1) (Version: 2014.10.0.0 - PixelfotoExpress)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7910 - Realtek Semiconductor Corp.)
RedMon - Redirection Port Monitor (HKLM\...\Redirection Port Monitor) (Version: 1.90 - Ghostgum Software Pty Ltd)
Service Pack 2 for Microsoft Office 2010 (KB2687455) 32-Bit Edition (HKLM-x32\...\{91140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUSR_{DE28B448-32E8-4E8F-84F0-A52B21A49B5B}) (Version:  - Microsoft)
VLC media player (HKLM\...\VLC media player) (Version: 3.0.12 - VideoLAN)
Vulkan Run Time Libraries 1.0.65.0 (HKLM\...\VulkanRT1.0.65.0) (Version: 1.0.65.0 - LunarG, Inc.) Hidden
Windows-PC-Integritätsprüfung (HKLM\...\{B3956CF3-F6C5-4567-AC38-1FD4432B319C}) (Version: 3.6.2204.08001 - Microsoft Corporation)
Zoom (HKU\S-1-5-21-1396517758-4013015564-1360406219-1001\...\ZoomUMX) (Version: 5.8.7 (2058) - Zoom Video Communications, Inc.)

Packages:
=========
Fotos-Add-On -> C:\Program Files\WindowsApps\Microsoft.Windows.Photos.DLC.Main_2021.39122.10110.0_x64__8wekyb3d8bbwe [2021-08-09] (Microsoft Corporation)
Media Engine-Add-On für Fotos -> C:\Program Files\WindowsApps\Microsoft.Photos.MediaEngineDLC_1.0.0.0_x64__8wekyb3d8bbwe [2019-10-23] (Microsoft Corporation)
Microsoft Advertising SDK for XAML -> C:\Program Files\WindowsApps\Microsoft.Advertising.Xaml_10.1811.1.0_x64__8wekyb3d8bbwe [2019-10-17] (Microsoft Corporation) [MS Ad]
Microsoft Advertising SDK for XAML -> C:\Program Files\WindowsApps\Microsoft.Advertising.Xaml_10.1811.1.0_x86__8wekyb3d8bbwe [2019-10-17] (Microsoft Corporation) [MS Ad]

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL [6671064 2013-12-19] (Microsoft Corporation -> Microsoft Corporation)
ShellExecuteHooks-x32: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL [4171480 2013-12-19] (Microsoft Corporation -> Microsoft Corporation)
ContextMenuHandlers5: [NvCplDesktopContext] -> {3D1975AF-48C6-4f8e-A182-BE0E08FA86A9} => C:\WINDOWS\system32\nvshext.dll [2018-01-24] (NVIDIA Corporation -> NVIDIA Corporation)

==================== Codecs (Nicht auf der Ausnahmeliste) ====================

==================== Verknüpfungen & WMI ========================

==================== Geladene Module (Nicht auf der Ausnahmeliste) =============

2020-11-10 20:31 - 2012-06-21 08:25 - 000113152 _____ () [Datei ist nicht signiert] C:\WINDOWS\System32\redmon64.dll
2020-08-04 15:37 - 2018-01-24 00:42 - 000877440 _____ (NVIDIA Corporation PE Sign v2016 -> NVIDIA Corporation) [Datei ist nicht signiert] C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPI64.dll
2020-08-04 15:38 - 2018-01-24 00:42 - 000343912 _____ (NVIDIA Corporation PE Sign v2016 -> NVIDIA Corporation) [Datei ist nicht signiert] C:\Program Files\NVIDIA Corporation\Display.NvContainer\plugins\LocalSystem\NvStereo\_nvstapisvr64.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) ========

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ==================

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) =================

==================== Internet Explorer (Nicht auf der Ausnahmeliste) ==========

BHO: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL [2013-12-19] (Microsoft Corporation -> Microsoft Corporation)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation -> Microsoft Corporation)
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL [2013-12-19] (Microsoft Corporation -> Microsoft Corporation)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation -> Microsoft Corporation)

==================== Hosts Inhalt: =========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2019-03-19 06:49 - 2019-03-19 06:49 - 000000824 _____ C:\WINDOWS\system32\drivers\etc\hosts

==================== Andere Bereiche ===========================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1396517758-4013015564-1360406219-1001\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\wallpaper\Windows\img0.jpg
DNS Servers: Datenträger ist nicht mit dem Internet verbunden.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )
 ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{870C523F-5B5C-4039-8FAA-948F8CE79AC3}] => (Allow) C:\Users\Bernd\AppData\Roaming\Zoom\bin\airhost.exe => Keine Datei
FirewallRules: [{2B065C99-814D-4920-8AE7-008F5D663699}] => (Allow) C:\Users\Bernd\AppData\Roaming\Zoom\bin\Zoom.exe (Zoom Video Communications, Inc. -> Zoom Video Communications, Inc.)
FirewallRules: [{6B01A84D-ECCC-4225-9108-8EAF76C7CF88}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{73D04EA5-F4F5-4E4A-8143-30E2290C6EA2}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [TCP Query User{7648BFC0-DEE1-4210-ACA6-07CE0B731E6C}C:\program files\mozilla firefox\firefox.exe] => (Block) C:\program files\mozilla firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [UDP Query User{EF99FD44-5704-4A30-AE08-2E1912F836A4}C:\program files\mozilla firefox\firefox.exe] => (Block) C:\program files\mozilla firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)

==================== Wiederherstellungspunkte =========================

ACHTUNG: Systemwiederherstellung ist deaktiviert (Total:111.16 GB) (Free:39.21 GB) (35%)

==================== Fehlerhafte Geräte im Gerätemanager ============


==================== Fehlereinträge in der Ereignisanzeige: ========================

Applikationsfehler:
==================
Error: (04/29/2022 09:39:49 AM) (Source: Firefox Default Browser Agent) (EventID: 12007) (User: )
Description: Event-ID 12007

Error: (04/29/2022 09:39:49 AM) (Source: Firefox Default Browser Agent) (EventID: 0) (User: )
Description: Event-ID 0

Error: (04/28/2022 11:54:34 PM) (Source: Microsoft-Windows-Defrag) (EventID: 264) (User: )
Description: Die Speicheroptimierung konnte erneut optimieren auf Volume (E:) nicht abschließen. Grund: Der angeforderte Vorgang wird von der Hardware des Volumes nicht unterstützt. (0x8900002A)

Error: (04/24/2022 08:16:17 AM) (Source: Microsoft-Windows-Defrag) (EventID: 264) (User: )
Description: Die Speicheroptimierung konnte erneut optimieren auf Volume (E:) nicht abschließen. Grund: Der angeforderte Vorgang wird von der Hardware des Volumes nicht unterstützt. (0x8900002A)

Error: (04/20/2022 12:17:07 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: AcroCEF.exe, Version: 22.1.20117.0, Zeitstempel: 0x624e742a
Name des fehlerhaften Moduls: AcroCEF.exe, Version: 22.1.20117.0, Zeitstempel: 0x624e742a
Ausnahmecode: 0x80000003
Fehleroffset: 0x000000000001055d
ID des fehlerhaften Prozesses: 0xad0
Startzeit der fehlerhaften Anwendung: 0x01d8549fc952d68c
Pfad der fehlerhaften Anwendung: C:\Program Files\Adobe\Acrobat DC\Acrobat\AcroCEF\AcroCEF.exe
Pfad des fehlerhaften Moduls: C:\Program Files\Adobe\Acrobat DC\Acrobat\AcroCEF\AcroCEF.exe
Berichtskennung: e7001fd1-7b66-4b40-8e8f-07997a5129f2
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (04/16/2022 04:10:22 PM) (Source: Microsoft-Windows-Defrag) (EventID: 264) (User: )
Description: Die Speicheroptimierung konnte erneut optimieren auf Volume (E:) nicht abschließen. Grund: Der angeforderte Vorgang wird von der Hardware des Volumes nicht unterstützt. (0x8900002A)

Error: (04/11/2022 03:38:12 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: AcroCEF.exe, Version: 22.1.20085.0, Zeitstempel: 0x621fbf55
Name des fehlerhaften Moduls: libcef.dll, Version: 108.0.0.0, Zeitstempel: 0x620ba8dd
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000027bc697
ID des fehlerhaften Prozesses: 0x748
Startzeit der fehlerhaften Anwendung: 0x01d84da95e097d24
Pfad der fehlerhaften Anwendung: C:\Program Files\Adobe\Acrobat DC\Acrobat\AcroCEF\AcroCEF.exe
Pfad des fehlerhaften Moduls: C:\Program Files\Adobe\Acrobat DC\Acrobat\AcroCEF\libcef.dll
Berichtskennung: 35953d6d-a5f0-46c3-bd4d-d7375d166e28
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (04/11/2022 03:38:12 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: AcroCEF.exe, Version: 22.1.20085.0, Zeitstempel: 0x621fbf55
Name des fehlerhaften Moduls: AcroCEF.exe, Version: 22.1.20085.0, Zeitstempel: 0x621fbf55
Ausnahmecode: 0x80000003
Fehleroffset: 0x000000000001055d
ID des fehlerhaften Prozesses: 0x16f4
Startzeit der fehlerhaften Anwendung: 0x01d84da9630c5a7a
Pfad der fehlerhaften Anwendung: C:\Program Files\Adobe\Acrobat DC\Acrobat\AcroCEF\AcroCEF.exe
Pfad des fehlerhaften Moduls: C:\Program Files\Adobe\Acrobat DC\Acrobat\AcroCEF\AcroCEF.exe
Berichtskennung: 8e030b9a-096a-4578-8c96-e6d294d38822
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:


Systemfehler:
=============
Error: (04/28/2022 09:41:12 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎27.‎04.‎2022 um 19:04:10 unerwartet heruntergefahren.

Error: (04/27/2022 07:04:10 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎27.‎04.‎2022 um 10:07:31 unerwartet heruntergefahren.

Error: (04/27/2022 10:07:31 AM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎26.‎04.‎2022 um 17:02:32 unerwartet heruntergefahren.

Error: (04/24/2022 11:57:00 AM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎24.‎04.‎2022 um 09:13:15 unerwartet heruntergefahren.

Error: (04/24/2022 07:53:10 AM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎23.‎04.‎2022 um 20:40:55 unerwartet heruntergefahren.

Error: (04/23/2022 08:40:55 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎22.‎04.‎2022 um 16:12:38 unerwartet heruntergefahren.

Error: (04/22/2022 04:12:38 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎22.‎04.‎2022 um 13:43:33 unerwartet heruntergefahren.

Error: (04/22/2022 01:43:33 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎22.‎04.‎2022 um 07:14:20 unerwartet heruntergefahren.


Windows Defender:
================
Date: 2022-04-28 23:54:32
Description: 
Die Microsoft Defender Antivirus-Überprüfung wurde vor ihrem Abschluss beendet.
Überprüfungs-ID: {BD07569F-381E-48DC-BCC7-43E2130A0ACF}
Überprüfungstyp: Antimalware
Überprüfungsparameter: Schnellüberprüfung
Benutzer: NT-AUTORITÄT\SYSTEM

Date: 2022-04-28 23:04:07
Description: 
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=PUADlManager:Win32/DownloadSponsor&threatid=311978&enterprise=0
Name: PUADlManager:Win32/DownloadSponsor
Schweregrad: Niedrig
Kategorie: Potenziell unerwünschte Software
Pfad: file:_E:\Downloads\FreeCAD 32 Bit - CHIP-Installer.exe; file:_E:\Downloads\Router Reconnect - CHIP-Installer.exe; file:_E:\Downloads\WinHTTrack - CHIP-Installer.exe
Erkennungsursprung: Lokaler Computer
Erkennungstype: Konkret
Erkennungsquelle: Benutzer
Benutzer: DESKTOP-53IN2JF\Bernd
Prozessname: Unknown
Sicherheitsversion: AV: 1.363.1085.0, AS: 1.363.1085.0, NIS: 1.363.1085.0
Modulversion: AM: 1.1.19200.5, NIS: 1.1.19200.5

Date: 2022-04-28 21:45:08
Description: 
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Script/Woreflint.A!cl&threatid=2147726230&enterprise=0
Name: Trojan:Script/Woreflint.A!cl
Schweregrad: Schwerwiegend
Kategorie: Trojaner
Pfad: file:_C:\Users\Bernd\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\V4MSHS7G\Rechnung_2022-04-25_100103020291_V36334466.html
Erkennungsursprung: Internet
Erkennungstype: FastPath
Erkennungsquelle: Echtzeitschutz
Benutzer: DESKTOP-53IN2JF\Bernd
Prozessname: C:\Program Files (x86)\Microsoft Office\Office14\OUTLOOK.EXE
Sicherheitsversion: AV: 1.363.1085.0, AS: 1.363.1085.0, NIS: 1.363.1085.0
Modulversion: AM: 1.1.19200.5, NIS: 1.1.19200.5

Date: 2022-04-26 15:19:52
Description: 
Die Microsoft Defender Antivirus-Überprüfung wurde vor ihrem Abschluss beendet.
Überprüfungs-ID: {FCBF3075-33DA-4A22-91F8-C048E95AD8C3}
Überprüfungstyp: Antimalware
Überprüfungsparameter: Schnellüberprüfung
Benutzer: NT-AUTORITÄT\SYSTEM

Date: 2022-04-24 08:44:18
Description: 
Die Microsoft Defender Antivirus-Überprüfung wurde vor ihrem Abschluss beendet.
Überprüfungs-ID: {16229A75-F93F-4915-82D9-2C6A34752349}
Überprüfungstyp: Antimalware
Überprüfungsparameter: Schnellüberprüfung
Benutzer: NT-AUTORITÄT\SYSTEM
Event[0]:

Date: 2022-04-28 22:20:48
Description: 
Bei Microsoft Defender Antivirus ist ein Fehler beim Aktualisieren der Sicherheitsinformationen aufgetreten.
Neue Version der Sicherheitsinformationen: 
%Vorherige Version der Sicherheitsinformationen: 1.363.1085.0
Update Source: Microsoft Update-Server
Sicherheitstyp: AntiVirus
Updatetyp: Voll
Benutzer: NT-AUTORITÄT\SYSTEM
Aktuelle Modulversion: 
%Vorherige Modulversion: 1.1.19200.5
Fehlercode: 0x80240438
Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates. Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie unter "Hilfe und Support". 

CodeIntegrity:
===============
Date: 2022-04-28 23:54:32
Description: 
Code Integrity determined that a process (\Device\HarddiskVolume5\ProgramData\Microsoft\Windows Defender\Platform\4.18.2203.5-0\MsMpEng.exe) attempted to load \Device\HarddiskVolume5\Program Files\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL that did not meet the Custom 3 / Antimalware signing level requirements.

Date: 2022-04-07 08:58:07
Description: 
Code Integrity determined that a process (\Device\HarddiskVolume5\ProgramData\Microsoft\Windows Defender\Platform\4.18.2202.4-0\MsMpEng.exe) attempted to load \Device\HarddiskVolume5\Program Files\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL that did not meet the Custom 3 / Antimalware signing level requirements.


==================== Speicherinformationen =========================== 

BIOS: American Megatrends Inc. H81EM2W08.215 01/27/2014
Hauptplatine: MEDION H81H3-EM2
Prozessor: Intel(R) Pentium(R) CPU G3220 @ 3.00GHz
Prozentuale Nutzung des RAM: 54%
Installierter physikalischer RAM: 8147.48 MB
Verfügbarer physikalischer RAM: 3703.95 MB
Summe virtueller Speicher: 9427.48 MB
Verfügbarer virtueller Speicher: 4467.28 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:111.16 GB) (Free:39.21 GB) NTFS
Drive e: (Volume) (Fixed) (Total:488.28 GB) (Free:452.79 GB) NTFS

\\?\Volume{3363733f-e4c4-49ca-ab62-17ce4a258599}\ (Wiederherstellung) (Fixed) (Total:0.52 GB) (Free:0.08 GB) NTFS
\\?\Volume{4247b507-d193-4d40-9170-addd56870992}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

==================== MBR & Partitionstabelle ====================

==========================================================
Disk: 0 (Protective MBR) (Size: 931.5 GB) (Disk ID: 00000000)

Partition: GPT.

==========================================================
Disk: 1 (Protective MBR) (Size: 111.8 GB) (Disk ID: 00000000)

Partition: GPT.

==================== Ende von Addition.txt =======================
         
Vielen Dank und Grüße
Max

P.S. Die Mail habe ich noch vorliegen falls dies weiterhilft.

Alt 29.04.2022, 10:45   #2
M-K-D-B
/// TB-Ausbilder
 
Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“ - Standard

Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“







Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.

Bitte beachte unsere Regeln während der Bereinigung!


Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.
__________________


Alt 29.04.2022, 10:48   #3
M-K-D-B
/// TB-Ausbilder
 
Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“ - Standard

Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“



Eine kurze Information vorab:

Downloadquellen
Die folgenden Seiten verteilen Software häufig mit einem sog. "Installer", mit dem Potentiell Unerwünschte Programme (PUP) oder Adware installiert werden können.
Vereinzelt beinhalten diese "Installer" sogar Trojaner.
Vermeide daher unbedingt die folgenden Seiten:
  • Chip.de
  • Softonic.de
  • sourceforge.net
  • openoffice.de
  • VLC.de
  • audacity.de
  • gimp24.de
  • jdownloader.org
  • computerbild.de
  • updatestar.com

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.


Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software immer direkt beim jeweiligen Hersteller / Entwickler.






Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei von MBAM
  • die Logdatei von AdwCleaner
__________________

Alt 29.04.2022, 11:20   #4
Max511
 
Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“ - Standard

Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“



Hallo Matthias,

Danke fürs anschauen.

MBAM.txt
Code:
ATTFilter
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 29.04.22
Scan-Zeit: 12:03
Protokolldatei: a3ee3746-c7a3-11ec-861a-c03fd5440b55.json

-Softwaredaten-
Version: 4.5.8.191
Komponentenversion: 1.0.1666
Version des Aktualisierungspakets: 1.0.54334
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19043.1645)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-53IN2JF\Bernd

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 296675
Erkannte Bedrohungen: 2
In die Quarantäne verschobene Bedrohungen: 2
Abgelaufene Zeit: 8 Min., 43 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 2
PUP.Optional.StartFenster, C:\USERS\BERND\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\Default\Web Data, Ersetzt, 481, 455286, 1.0.54334, , ame, , 3AE582689FE14A4B716452191A0DA45E, D695B157B79AE59CEFC2818C982FA6B3AA7D68385E535A4228C53184B6D85C40
PUP.Optional.StartFenster, C:\USERS\BERND\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\Default\Web Data, Ersetzt, 481, 455286, 1.0.54334, , ame, , 3AE582689FE14A4B716452191A0DA45E, D695B157B79AE59CEFC2818C982FA6B3AA7D68385E535A4228C53184B6D85C40

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         
AdwCleaner
Code:
ATTFilter
# -------------------------------
# Malwarebytes AdwCleaner 8.3.2.0
# -------------------------------
# Build:    03-23-2022
# Database: 2022-04-27.2 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    04-29-2022
# Duration: 00:00:00
# OS:       Windows 10 Home
# Cleaned:  1
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Update Plus Player

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1471 octets] - [29/04/2022 12:16:11]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
         

Alt 29.04.2022, 19:22   #5
M-K-D-B
/// TB-Ausbilder
 
Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“ - Standard

Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“



Vielen Dank für die Logdateien.



Schritt 1
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.


Alt 29.04.2022, 20:24   #6
Max511
 
Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“ - Standard

Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“



Danke, anbei die Logs:

FRST
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 22-04-2022
durchgeführt von Bernd (Administrator) auf DESKTOP-53IN2JF (MEDION H81H3-EM2) (29-04-2022 21:20:54)
Gestartet von E:\Downloads
Geladene Profile: Bernd
Plattform: Microsoft Windows 10 Home Version 21H1 19043.1645 (X64) Sprache: Deutsch (Deutschland)
Standard-Browser: FF
Start-Modus: Normal

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe ->) (Malwarebytes Inc -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
(explorer.exe ->) (Realtek Semiconductor Corp. -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(services.exe ->) (Malwarebytes Inc -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
(services.exe ->) (NVIDIA Corporation -> NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe <2>
(shbox.de) [Datei ist nicht signiert] C:\Program Files (x86)\FreePDF_XP\fpassist.exe
(svchost.exe ->) (Microsoft Corporation -> Microsoft Corporation) C:\Users\Bernd\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe <2>
(svchost.exe ->) (Microsoft Corporation) C:\Program Files\WindowsApps\Microsoft.549981C3F5F10_4.2203.4603.0_x64__8wekyb3d8bbwe\Cortana.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\MoUsoCoreWorker.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\smartscreen.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.1613_none_7df538047ca074bb\TiWorker.exe
(winlogon.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\userinit.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [16695816 2016-08-19] (Realtek Semiconductor Corp. -> Realtek Semiconductor)
HKLM-x32\...\Run: [FreePDF Assistant] => C:\Program Files (x86)\FreePDF_XP\fpassist.exe [373760 2014-03-18] (shbox.de) [Datei ist nicht signiert]
HKLM\...\Windows x64\Print Processors\Canon MG4200 series Print Processor: C:\Windows\System32\spool\prtprocs\x64\CNMPDB9.DLL [30208 2012-03-26] (Microsoft Windows Hardware Compatibility Publisher -> CANON INC.)
HKLM\...\Print\Monitors\Canon BJ Language Monitor MG4200 series: C:\WINDOWS\system32\CNMLMB9.DLL [389120 2012-03-26] (Microsoft Windows Hardware Compatibility Publisher -> CANON INC.)
HKLM\...\Print\Monitors\Canon BJ Language Monitor MG4200 series XPS: C:\WINDOWS\system32\CNMXLMB9.DLL [392192 2012-03-26] (Microsoft Windows Hardware Compatibility Publisher -> CANON INC.)
HKLM\...\Print\Monitors\Redirected Port: C:\WINDOWS\system32\redmon64.dll [113152 2012-06-21] () [Datei ist nicht signiert]

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) ============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {38C5AB3C-196D-46D3-AD77-52429C5C0787} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
Task: {8AE27FE6-2145-44D8-93F8-70A242926DD7} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1564424 2021-11-18] (Adobe Inc. -> Adobe Inc.)
Task: {AF809E30-7C10-4CDA-884C-F3E9CF11DC16} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe do-task "308046B0AF4A39CB"

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{5e7972dc-3033-454a-942a-9ea2c282a12e}: [DhcpNameServer] 192.168.178.1

Edge: 
=======
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
Edge DefaultProfile: Default
Edge Profile: C:\Users\Bernd\AppData\Local\Microsoft\Edge\User Data\Default [2022-04-11]

FireFox:
========
FF DefaultProfile: q2krd78v.default
FF ProfilePath: C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\q2krd78v.default [2019-09-30]
FF ProfilePath: C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\u6m8bgyw.default-release [2022-04-29]
FF DownloadDir: E:\Downloads
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin: Adobe Acrobat -> C:\Program Files\Adobe\Acrobat DC\Acrobat\Air\nppdf32.dll [2022-04-07] (Adobe Inc. -> Adobe Systems Inc.)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll [2018-01-24] (NVIDIA Corporation PE Sign v2016 -> NVIDIA Corporation) [Datei ist nicht signiert]
FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll [2018-01-24] (NVIDIA Corporation PE Sign v2016 -> NVIDIA Corporation) [Datei ist nicht signiert]

==================== Dienste (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S2 AdobeARMservice; C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [169728 2021-11-18] (Adobe Inc. -> Adobe Inc.)
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe [8347832 2022-04-29] (Malwarebytes Inc -> Malwarebytes)
S3 WdNisSvc; C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2203.5-0\NisSrv.exe [3116848 2022-04-08] (Microsoft Windows Publisher -> Microsoft Corporation)
S3 WinDefend; C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2203.5-0\MsMpEng.exe [133544 2022-04-08] (Microsoft Windows Publisher -> Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 BthA2dp; C:\WINDOWS\System32\drivers\BthA2dp.sys [279040 2019-12-07] (Microsoft Corporation) [Datei ist nicht signiert]
S3 BthHFEnum; C:\WINDOWS\System32\drivers\bthhfenum.sys [144896 2019-12-07] (Microsoft Corporation) [Datei ist nicht signiert]
R1 ESProtectionDriver; C:\WINDOWS\system32\drivers\mbae64.sys [103888 2022-04-29] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
R2 MBAMChameleon; C:\WINDOWS\System32\Drivers\MbamChameleon.sys [223176 2022-04-29] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
S0 MbamElam; C:\WINDOWS\System32\DRIVERS\MbamElam.sys [21480 2022-04-29] (Microsoft Windows Early Launch Anti-Malware Publisher -> Malwarebytes)
R3 MBAMFarflt; C:\WINDOWS\System32\DRIVERS\farflt.sys [193992 2022-04-29] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
R3 MBAMProtection; C:\WINDOWS\system32\DRIVERS\mbam.sys [70072 2022-04-29] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
R3 MBAMSwissArmy; C:\WINDOWS\System32\Drivers\mbamswissarmy.sys [239560 2022-04-29] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
R3 MBAMWebProtection; C:\WINDOWS\system32\DRIVERS\mwac.sys [158856 2022-04-29] (Malwarebytes Inc -> Malwarebytes)
S3 WdBoot; C:\WINDOWS\system32\drivers\wd\WdBoot.sys [49600 2022-04-08] (Microsoft Windows Early Launch Anti-Malware Publisher -> Microsoft Corporation)
S3 WdFilter; C:\WINDOWS\system32\drivers\wd\WdFilter.sys [443664 2022-04-08] (Microsoft Windows -> Microsoft Corporation)
S3 WdNisDrv; C:\WINDOWS\System32\drivers\wd\WdNisDrv.sys [90384 2022-04-08] (Microsoft Windows -> Microsoft Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat (erstellte) (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2022-04-29 12:15 - 2022-04-29 12:16 - 000000000 ____D C:\AdwCleaner
2022-04-29 12:14 - 2022-04-29 12:14 - 000193992 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\farflt.sys
2022-04-29 12:14 - 2022-04-29 12:14 - 000158856 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mwac.sys
2022-04-29 12:14 - 2022-04-29 12:14 - 000070072 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbam.sys
2022-04-29 12:14 - 2022-04-29 12:14 - 000000000 ____D C:\Users\Bernd\AppData\LocalLow\IGDump
2022-04-29 12:02 - 2022-04-29 12:02 - 000239560 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbamswissarmy.sys
2022-04-29 12:02 - 2022-04-29 12:02 - 000223176 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MbamChameleon.sys
2022-04-29 12:02 - 2022-04-29 12:02 - 000002033 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
2022-04-29 12:02 - 2022-04-29 12:02 - 000000000 ____D C:\Users\Bernd\AppData\Local\mbam
2022-04-29 12:02 - 2022-04-29 12:01 - 000103888 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbae64.sys
2022-04-29 12:02 - 2022-04-29 12:01 - 000021480 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MbamElam.sys
2022-04-29 12:00 - 2022-04-29 12:00 - 000000000 ____D C:\ProgramData\Malwarebytes
2022-04-29 12:00 - 2022-04-29 12:00 - 000000000 ____D C:\Program Files\Malwarebytes
2022-04-29 09:53 - 2022-04-29 21:21 - 000000000 ____D C:\FRST
2022-04-24 07:53 - 2022-04-24 07:53 - 000000000 ____D C:\Program Files\PCHealthCheck
2022-04-15 09:44 - 2022-04-15 09:44 - 000162816 _____ C:\WINDOWS\system32\DataStoreCacheDumpTool.exe
2022-04-15 09:44 - 2022-04-15 09:44 - 000048640 _____ (Adobe Systems) C:\WINDOWS\system32\atmlib.dll
2022-04-15 09:44 - 2022-04-15 09:44 - 000039936 _____ (Adobe Systems) C:\WINDOWS\SysWOW64\atmlib.dll
2022-04-15 09:44 - 2022-04-15 09:44 - 000011803 _____ C:\WINDOWS\system32\DrtmAuthTxt.wim
2022-04-15 09:37 - 2022-04-15 09:37 - 000000000 ___HD C:\$WinREAgent
2022-04-14 07:09 - 2022-04-15 20:08 - 000000000 ____D C:\Program Files\Mozilla Firefox

==================== Ein Monat (geänderte) ==================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2022-04-29 21:22 - 2022-02-08 19:39 - 000000000 ____D C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38
2022-04-29 21:21 - 2019-09-30 19:44 - 000000000 ____D C:\Users\Bernd\AppData\LocalLow\Mozilla
2022-04-29 21:20 - 2021-02-02 14:41 - 000000000 ____D C:\Users\Bernd\AppData\Local\FreePDF_XP
2022-04-29 12:24 - 2020-08-04 15:39 - 001632020 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2022-04-29 12:24 - 2019-12-07 16:50 - 000705894 _____ C:\WINDOWS\system32\perfh007.dat
2022-04-29 12:24 - 2019-12-07 16:50 - 000142188 _____ C:\WINDOWS\system32\perfc007.dat
2022-04-29 12:24 - 2019-12-07 11:13 - 000000000 ____D C:\WINDOWS\INF
2022-04-29 12:24 - 2019-09-30 19:49 - 000000000 ____D C:\ProgramData\NVIDIA
2022-04-29 12:15 - 2019-12-07 11:14 - 000000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2022-04-29 12:14 - 2020-08-04 15:41 - 000000006 ____H C:\WINDOWS\Tasks\SA.DAT
2022-04-29 12:14 - 2020-08-04 15:35 - 000008192 ___SH C:\DumpStack.log.tmp
2022-04-29 12:14 - 2019-12-07 11:03 - 000524288 _____ C:\WINDOWS\system32\config\BBI
2022-04-29 12:09 - 2020-08-04 15:35 - 000000000 ____D C:\WINDOWS\system32\SleepStudy
2022-04-29 12:02 - 2019-12-07 11:14 - 000000000 ___HD C:\WINDOWS\ELAMBKUP
2022-04-27 07:57 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\AppReadiness
2022-04-24 07:53 - 2021-11-04 13:59 - 000001146 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk
2022-04-23 20:45 - 2020-07-05 19:21 - 000002436 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk
2022-04-23 20:45 - 2019-12-07 11:14 - 000000000 ___HD C:\Program Files\WindowsApps
2022-04-19 11:34 - 2021-12-12 17:02 - 000003592 _____ C:\WINDOWS\system32\Tasks\OneDrive Reporting Task-S-1-5-21-1396517758-4013015564-1360406219-1001
2022-04-19 11:34 - 2020-08-04 15:41 - 000003380 _____ C:\WINDOWS\system32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1396517758-4013015564-1360406219-1001
2022-04-19 11:34 - 2020-08-04 15:17 - 000002399 _____ C:\Users\Bernd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
2022-04-16 16:02 - 2019-09-30 20:02 - 000000000 ____D C:\WINDOWS\system32\MRT
2022-04-16 16:01 - 2019-09-30 20:01 - 143823848 ____C (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2022-04-15 20:08 - 2020-08-04 15:35 - 000434200 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2022-04-15 20:08 - 2019-09-30 19:44 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ___RD C:\WINDOWS\ImmersiveControlPanel
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\SysWOW64\Dism
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\SystemResources
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\system32\oobe
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\system32\Dism
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\ShellExperiences
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\Provisioning
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\PolicyDefinitions
2022-04-15 20:07 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\bcastdvr
2022-04-15 19:40 - 2019-12-07 11:03 - 000000000 ____D C:\WINDOWS\CbsTemp
2022-04-14 08:40 - 2021-10-06 06:43 - 000000000 ____D C:\WINDOWS\system32\Tasks\Mozilla
2022-04-14 08:40 - 2019-09-30 19:44 - 000001005 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk
2022-04-14 07:11 - 2020-08-04 15:41 - 000004562 _____ C:\WINDOWS\system32\Tasks\Adobe Acrobat Update Task
2022-04-14 07:10 - 2021-11-22 11:55 - 000002073 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat DC.lnk
2022-04-10 08:14 - 2020-08-04 15:41 - 000003700 _____ C:\WINDOWS\system32\Tasks\MicrosoftEdgeUpdateTaskMachineUA
2022-04-10 08:14 - 2020-08-04 15:41 - 000003576 _____ C:\WINDOWS\system32\Tasks\MicrosoftEdgeUpdateTaskMachineCore
2022-04-08 08:03 - 2019-09-30 19:33 - 000000000 ____D C:\WINDOWS\system32\Drivers\wd
2022-04-06 08:52 - 2020-11-20 17:06 - 000000000 ____D C:\Program Files\Microsoft Update Health Tools

==================== SigCheck ============================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

==================== Ende von FRST.txt ========================
         
Addition
Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 22-04-2022
durchgeführt von Bernd (29-04-2022 21:22:26)
Gestartet von E:\Downloads
Microsoft Windows 10 Home Version 21H1 19043.1645 (X64) (2020-08-04 13:41:10)
Start-Modus: Normal
==========================================================


==================== Konten: =============================


(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

Administrator (S-1-5-21-1396517758-4013015564-1360406219-500 - Administrator - Disabled)
Bernd (S-1-5-21-1396517758-4013015564-1360406219-1001 - Administrator - Enabled) => C:\Users\Bernd
DefaultAccount (S-1-5-21-1396517758-4013015564-1360406219-503 - Limited - Disabled)
Gast (S-1-5-21-1396517758-4013015564-1360406219-501 - Limited - Disabled)
WDAGUtilityAccount (S-1-5-21-1396517758-4013015564-1360406219-504 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Acrobat DC (64-bit) (HKLM\...\{AC76BA86-1031-1033-7760-BC15014EA700}) (Version: 22.001.20117 - Adobe)
Adobe Digital Editions 4.5 (HKLM-x32\...\Adobe Digital Editions 4.5) (Version: 4.5.10 - Adobe Systems Incorporated)
Breitbandmessung 1.1.9 (HKLM\...\{14607473-30db-509f-94f0-bb7c085c619e}) (Version: 1.1.9 - zafaco GmbH)
Canon IJ Scan Utility (HKLM-x32\...\Canon_IJ_Scan_Utility) (Version:  - ‪Canon Inc.‬)
Canon MG4200 series MP Drivers (HKLM\...\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MG4200_series) (Version: 1.02 - Canon Inc.)
FreePDF (Remove only) (HKLM-x32\...\FreePDF_XP) (Version:  - )
GPL Ghostscript (HKLM-x32\...\GPL Ghostscript 9.20) (Version: 9.20 - Artifex Software Inc.)
Malwarebytes version 4.5.8.191 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 4.5.8.191 - Malwarebytes)
Microsoft Edge (HKLM-x32\...\Microsoft Edge) (Version: 100.0.1185.50 - Microsoft Corporation)
Microsoft Office Professional Plus 2010 (HKLM-x32\...\Office14.PROPLUSR) (Version: 14.0.7015.1000 - Microsoft Corporation)
Microsoft OneDrive (HKU\S-1-5-21-1396517758-4013015564-1360406219-1001\...\OneDriveSetup.exe) (Version: 22.065.0412.0004 - Microsoft Corporation)
Microsoft Update Health Tools (HKLM\...\{7B1FCD52-8F6B-4F12-A143-361EA39F5E7C}) (Version: 3.67.0.0 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64)) (Version: 10.0.50903 - Microsoft Corporation)
Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x64) Language Pack - DEU (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64) Language Pack - DEU) (Version: 10.0.50903 - Microsoft Corporation)
Mozilla Firefox (x64 de) (HKLM\...\Mozilla Firefox 99.0.1 (x64 de)) (Version: 99.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 69.0.1 - Mozilla)
NVIDIA 3D Vision Treiber 390.77 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision) (Version: 390.77 - NVIDIA Corporation)
NVIDIA Grafiktreiber 390.77 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 390.77 - NVIDIA Corporation)
NVIDIA HD-Audiotreiber 1.3.36.6 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver) (Version: 1.3.36.6 - NVIDIA Corporation)
PixelfotoExpressSoftware Version 2014.10.0.0 (HKLM-x32\...\{AA84AE9D-8A7F-4682-A236-8222CD5CCAA5}_is1) (Version: 2014.10.0.0 - PixelfotoExpress)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7910 - Realtek Semiconductor Corp.)
RedMon - Redirection Port Monitor (HKLM\...\Redirection Port Monitor) (Version: 1.90 - Ghostgum Software Pty Ltd)
Service Pack 2 for Microsoft Office 2010 (KB2687455) 32-Bit Edition (HKLM-x32\...\{91140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUSR_{DE28B448-32E8-4E8F-84F0-A52B21A49B5B}) (Version:  - Microsoft)
VLC media player (HKLM\...\VLC media player) (Version: 3.0.12 - VideoLAN)
Vulkan Run Time Libraries 1.0.65.0 (HKLM\...\VulkanRT1.0.65.0) (Version: 1.0.65.0 - LunarG, Inc.) Hidden
Windows-PC-Integritätsprüfung (HKLM\...\{B3956CF3-F6C5-4567-AC38-1FD4432B319C}) (Version: 3.6.2204.08001 - Microsoft Corporation)
Zoom (HKU\S-1-5-21-1396517758-4013015564-1360406219-1001\...\ZoomUMX) (Version: 5.8.7 (2058) - Zoom Video Communications, Inc.)

Packages:
=========
Fotos-Add-On -> C:\Program Files\WindowsApps\Microsoft.Windows.Photos.DLC.Main_2021.39122.10110.0_x64__8wekyb3d8bbwe [2021-08-09] (Microsoft Corporation)
Media Engine-Add-On für Fotos -> C:\Program Files\WindowsApps\Microsoft.Photos.MediaEngineDLC_1.0.0.0_x64__8wekyb3d8bbwe [2019-10-23] (Microsoft Corporation)
Microsoft Advertising SDK for XAML -> C:\Program Files\WindowsApps\Microsoft.Advertising.Xaml_10.1811.1.0_x64__8wekyb3d8bbwe [2019-10-17] (Microsoft Corporation) [MS Ad]
Microsoft Advertising SDK for XAML -> C:\Program Files\WindowsApps\Microsoft.Advertising.Xaml_10.1811.1.0_x86__8wekyb3d8bbwe [2019-10-17] (Microsoft Corporation) [MS Ad]

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL [6671064 2013-12-19] (Microsoft Corporation -> Microsoft Corporation)
ShellExecuteHooks-x32: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL [4171480 2013-12-19] (Microsoft Corporation -> Microsoft Corporation)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2022-04-29] (Malwarebytes Corporation -> Malwarebytes)
ContextMenuHandlers5: [NvCplDesktopContext] -> {3D1975AF-48C6-4f8e-A182-BE0E08FA86A9} => C:\WINDOWS\system32\nvshext.dll [2018-01-24] (NVIDIA Corporation -> NVIDIA Corporation)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2022-04-29] (Malwarebytes Corporation -> Malwarebytes)

==================== Codecs (Nicht auf der Ausnahmeliste) ====================

==================== Verknüpfungen & WMI ========================

==================== Geladene Module (Nicht auf der Ausnahmeliste) =============

2020-11-10 20:31 - 2012-06-21 08:25 - 000113152 _____ () [Datei ist nicht signiert] C:\WINDOWS\System32\redmon64.dll
2020-08-04 15:37 - 2018-01-24 00:42 - 000877440 _____ (NVIDIA Corporation PE Sign v2016 -> NVIDIA Corporation) [Datei ist nicht signiert] C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPI64.dll
2020-08-04 15:38 - 2018-01-24 00:42 - 000343912 _____ (NVIDIA Corporation PE Sign v2016 -> NVIDIA Corporation) [Datei ist nicht signiert] C:\Program Files\NVIDIA Corporation\Display.NvContainer\plugins\LocalSystem\NvStereo\_nvstapisvr64.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) ========

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ==================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) =================

==================== Internet Explorer (Nicht auf der Ausnahmeliste) ==========

BHO: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL [2013-12-19] (Microsoft Corporation -> Microsoft Corporation)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation -> Microsoft Corporation)
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL [2013-12-19] (Microsoft Corporation -> Microsoft Corporation)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation -> Microsoft Corporation)

==================== Hosts Inhalt: =========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2019-03-19 06:49 - 2019-03-19 06:49 - 000000824 _____ C:\WINDOWS\system32\drivers\etc\hosts

==================== Andere Bereiche ===========================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1396517758-4013015564-1360406219-1001\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\wallpaper\Windows\img0.jpg
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )
 ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{870C523F-5B5C-4039-8FAA-948F8CE79AC3}] => (Allow) C:\Users\Bernd\AppData\Roaming\Zoom\bin\airhost.exe => Keine Datei
FirewallRules: [{2B065C99-814D-4920-8AE7-008F5D663699}] => (Allow) C:\Users\Bernd\AppData\Roaming\Zoom\bin\Zoom.exe (Zoom Video Communications, Inc. -> Zoom Video Communications, Inc.)
FirewallRules: [{6B01A84D-ECCC-4225-9108-8EAF76C7CF88}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{73D04EA5-F4F5-4E4A-8143-30E2290C6EA2}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [TCP Query User{7648BFC0-DEE1-4210-ACA6-07CE0B731E6C}C:\program files\mozilla firefox\firefox.exe] => (Block) C:\program files\mozilla firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [UDP Query User{EF99FD44-5704-4A30-AE08-2E1912F836A4}C:\program files\mozilla firefox\firefox.exe] => (Block) C:\program files\mozilla firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)

==================== Wiederherstellungspunkte =========================

ACHTUNG: Systemwiederherstellung ist deaktiviert (Total:111.16 GB) (Free:38.73 GB) (35%)

==================== Fehlerhafte Geräte im Gerätemanager ============


==================== Fehlereinträge in der Ereignisanzeige: ========================

Applikationsfehler:
==================
Error: (04/29/2022 09:39:49 AM) (Source: Firefox Default Browser Agent) (EventID: 12007) (User: )
Description: Event-ID 12007

Error: (04/29/2022 09:39:49 AM) (Source: Firefox Default Browser Agent) (EventID: 0) (User: )
Description: Event-ID 0

Error: (04/28/2022 11:54:34 PM) (Source: Microsoft-Windows-Defrag) (EventID: 264) (User: )
Description: Die Speicheroptimierung konnte erneut optimieren auf Volume (E:) nicht abschließen. Grund: Der angeforderte Vorgang wird von der Hardware des Volumes nicht unterstützt. (0x8900002A)

Error: (04/24/2022 08:16:17 AM) (Source: Microsoft-Windows-Defrag) (EventID: 264) (User: )
Description: Die Speicheroptimierung konnte erneut optimieren auf Volume (E:) nicht abschließen. Grund: Der angeforderte Vorgang wird von der Hardware des Volumes nicht unterstützt. (0x8900002A)

Error: (04/20/2022 12:17:07 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: AcroCEF.exe, Version: 22.1.20117.0, Zeitstempel: 0x624e742a
Name des fehlerhaften Moduls: AcroCEF.exe, Version: 22.1.20117.0, Zeitstempel: 0x624e742a
Ausnahmecode: 0x80000003
Fehleroffset: 0x000000000001055d
ID des fehlerhaften Prozesses: 0xad0
Startzeit der fehlerhaften Anwendung: 0x01d8549fc952d68c
Pfad der fehlerhaften Anwendung: C:\Program Files\Adobe\Acrobat DC\Acrobat\AcroCEF\AcroCEF.exe
Pfad des fehlerhaften Moduls: C:\Program Files\Adobe\Acrobat DC\Acrobat\AcroCEF\AcroCEF.exe
Berichtskennung: e7001fd1-7b66-4b40-8e8f-07997a5129f2
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (04/16/2022 04:10:22 PM) (Source: Microsoft-Windows-Defrag) (EventID: 264) (User: )
Description: Die Speicheroptimierung konnte erneut optimieren auf Volume (E:) nicht abschließen. Grund: Der angeforderte Vorgang wird von der Hardware des Volumes nicht unterstützt. (0x8900002A)

Error: (04/11/2022 03:38:12 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: AcroCEF.exe, Version: 22.1.20085.0, Zeitstempel: 0x621fbf55
Name des fehlerhaften Moduls: libcef.dll, Version: 108.0.0.0, Zeitstempel: 0x620ba8dd
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000027bc697
ID des fehlerhaften Prozesses: 0x748
Startzeit der fehlerhaften Anwendung: 0x01d84da95e097d24
Pfad der fehlerhaften Anwendung: C:\Program Files\Adobe\Acrobat DC\Acrobat\AcroCEF\AcroCEF.exe
Pfad des fehlerhaften Moduls: C:\Program Files\Adobe\Acrobat DC\Acrobat\AcroCEF\libcef.dll
Berichtskennung: 35953d6d-a5f0-46c3-bd4d-d7375d166e28
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (04/11/2022 03:38:12 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: AcroCEF.exe, Version: 22.1.20085.0, Zeitstempel: 0x621fbf55
Name des fehlerhaften Moduls: AcroCEF.exe, Version: 22.1.20085.0, Zeitstempel: 0x621fbf55
Ausnahmecode: 0x80000003
Fehleroffset: 0x000000000001055d
ID des fehlerhaften Prozesses: 0x16f4
Startzeit der fehlerhaften Anwendung: 0x01d84da9630c5a7a
Pfad der fehlerhaften Anwendung: C:\Program Files\Adobe\Acrobat DC\Acrobat\AcroCEF\AcroCEF.exe
Pfad des fehlerhaften Moduls: C:\Program Files\Adobe\Acrobat DC\Acrobat\AcroCEF\AcroCEF.exe
Berichtskennung: 8e030b9a-096a-4578-8c96-e6d294d38822
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:


Systemfehler:
=============
Error: (04/29/2022 12:24:27 PM) (Source: DCOM) (EventID: 10010) (User: DESKTOP-53IN2JF)
Description: Der Server "{A463FCB9-6B1C-4E0D-A80B-A2CA7999E25D}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (04/29/2022 12:24:27 PM) (Source: DCOM) (EventID: 10010) (User: DESKTOP-53IN2JF)
Description: Der Server "{A463FCB9-6B1C-4E0D-A80B-A2CA7999E25D}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (04/29/2022 12:24:27 PM) (Source: DCOM) (EventID: 10010) (User: DESKTOP-53IN2JF)
Description: Der Server "{A463FCB9-6B1C-4E0D-A80B-A2CA7999E25D}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (04/29/2022 12:16:59 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Adobe Acrobat Update Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (04/29/2022 12:16:59 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "NVIDIA Display Container LS" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 1000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (04/28/2022 09:41:12 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎27.‎04.‎2022 um 19:04:10 unerwartet heruntergefahren.

Error: (04/27/2022 07:04:10 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎27.‎04.‎2022 um 10:07:31 unerwartet heruntergefahren.

Error: (04/27/2022 10:07:31 AM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎26.‎04.‎2022 um 17:02:32 unerwartet heruntergefahren.


Windows Defender:
================
Date: 2022-04-28 23:54:32
Description: 
Die Microsoft Defender Antivirus-Überprüfung wurde vor ihrem Abschluss beendet.
Überprüfungs-ID: {BD07569F-381E-48DC-BCC7-43E2130A0ACF}
Überprüfungstyp: Antimalware
Überprüfungsparameter: Schnellüberprüfung
Benutzer: NT-AUTORITÄT\SYSTEM

Date: 2022-04-28 23:04:07
Description: 
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=PUADlManager:Win32/DownloadSponsor&threatid=311978&enterprise=0
Name: PUADlManager:Win32/DownloadSponsor
Schweregrad: Niedrig
Kategorie: Potenziell unerwünschte Software
Pfad: file:_E:\Downloads\FreeCAD 32 Bit - CHIP-Installer.exe; file:_E:\Downloads\Router Reconnect - CHIP-Installer.exe; file:_E:\Downloads\WinHTTrack - CHIP-Installer.exe
Erkennungsursprung: Lokaler Computer
Erkennungstype: Konkret
Erkennungsquelle: Benutzer
Benutzer: DESKTOP-53IN2JF\Bernd
Prozessname: Unknown
Sicherheitsversion: AV: 1.363.1085.0, AS: 1.363.1085.0, NIS: 1.363.1085.0
Modulversion: AM: 1.1.19200.5, NIS: 1.1.19200.5

Date: 2022-04-28 21:45:08
Description: 
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Script/Woreflint.A!cl&threatid=2147726230&enterprise=0
Name: Trojan:Script/Woreflint.A!cl
Schweregrad: Schwerwiegend
Kategorie: Trojaner
Pfad: file:_C:\Users\Bernd\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\V4MSHS7G\Rechnung_2022-04-25_100103020291_V36334466.html
Erkennungsursprung: Internet
Erkennungstype: FastPath
Erkennungsquelle: Echtzeitschutz
Benutzer: DESKTOP-53IN2JF\Bernd
Prozessname: C:\Program Files (x86)\Microsoft Office\Office14\OUTLOOK.EXE
Sicherheitsversion: AV: 1.363.1085.0, AS: 1.363.1085.0, NIS: 1.363.1085.0
Modulversion: AM: 1.1.19200.5, NIS: 1.1.19200.5

Date: 2022-04-26 15:19:52
Description: 
Die Microsoft Defender Antivirus-Überprüfung wurde vor ihrem Abschluss beendet.
Überprüfungs-ID: {FCBF3075-33DA-4A22-91F8-C048E95AD8C3}
Überprüfungstyp: Antimalware
Überprüfungsparameter: Schnellüberprüfung
Benutzer: NT-AUTORITÄT\SYSTEM

Date: 2022-04-24 08:44:18
Description: 
Die Microsoft Defender Antivirus-Überprüfung wurde vor ihrem Abschluss beendet.
Überprüfungs-ID: {16229A75-F93F-4915-82D9-2C6A34752349}
Überprüfungstyp: Antimalware
Überprüfungsparameter: Schnellüberprüfung
Benutzer: NT-AUTORITÄT\SYSTEM
Event[0]:

Date: 2022-04-29 12:14:18
Description: 
Fehler des Microsoft Defender Antivirus-Echtzeitschutz-Features.
Feature: Netzwerkinspektionssystem
Fehlercode: 0x8007045b
Fehlerbeschreibung: Der Computer wird heruntergefahren. 
Ursache: Dem System fehlen erforderliche Updates zum Ausführen des Netzwerkinspektionssystems. Installieren Sie die erforderlichen Updates, und starten Sie das Gerät neu.

Date: 2022-04-28 22:20:48
Description: 
Bei Microsoft Defender Antivirus ist ein Fehler beim Aktualisieren der Sicherheitsinformationen aufgetreten.
Neue Version der Sicherheitsinformationen: 
%Vorherige Version der Sicherheitsinformationen: 1.363.1085.0
Update Source: Microsoft Update-Server
Sicherheitstyp: AntiVirus
Updatetyp: Voll
Benutzer: NT-AUTORITÄT\SYSTEM
Aktuelle Modulversion: 
%Vorherige Modulversion: 1.1.19200.5
Fehlercode: 0x80240438
Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates. Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie unter "Hilfe und Support". 

CodeIntegrity:
===============
Date: 2022-04-28 23:54:32
Description: 
Code Integrity determined that a process (\Device\HarddiskVolume5\ProgramData\Microsoft\Windows Defender\Platform\4.18.2203.5-0\MsMpEng.exe) attempted to load \Device\HarddiskVolume5\Program Files\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL that did not meet the Custom 3 / Antimalware signing level requirements.

Date: 2022-04-07 08:58:07
Description: 
Code Integrity determined that a process (\Device\HarddiskVolume5\ProgramData\Microsoft\Windows Defender\Platform\4.18.2202.4-0\MsMpEng.exe) attempted to load \Device\HarddiskVolume5\Program Files\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL that did not meet the Custom 3 / Antimalware signing level requirements.


==================== Speicherinformationen =========================== 

BIOS: American Megatrends Inc. H81EM2W08.215 01/27/2014
Hauptplatine: MEDION H81H3-EM2
Prozessor: Intel(R) Pentium(R) CPU G3220 @ 3.00GHz
Prozentuale Nutzung des RAM: 40%
Installierter physikalischer RAM: 8147.48 MB
Verfügbarer physikalischer RAM: 4841.5 MB
Summe virtueller Speicher: 9427.48 MB
Verfügbarer virtueller Speicher: 5716.2 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:111.16 GB) (Free:38.72 GB) NTFS
Drive e: (Volume) (Fixed) (Total:488.28 GB) (Free:452.78 GB) NTFS

\\?\Volume{3363733f-e4c4-49ca-ab62-17ce4a258599}\ (Wiederherstellung) (Fixed) (Total:0.52 GB) (Free:0.08 GB) NTFS
\\?\Volume{4247b507-d193-4d40-9170-addd56870992}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

==================== MBR & Partitionstabelle ====================

==========================================================
Disk: 0 (Protective MBR) (Size: 931.5 GB) (Disk ID: 00000000)

Partition: GPT.

==========================================================
Disk: 1 (Protective MBR) (Size: 111.8 GB) (Disk ID: 00000000)

Partition: GPT.

==================== Ende von Addition.txt =======================
         

Alt 29.04.2022, 20:37   #7
M-K-D-B
/// TB-Ausbilder
 
Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“ - Standard

Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“



Wir entfernen ein paar verwaiste Einträge und kontrollieren die Windows Systemdateien, dies kann ein paar Minuten dauern, bitte gedulde dich.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    SystemRestore: On 
    CreateRestorePoint:
    CloseProcesses:
    
    Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
    Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
    Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
    Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
    
    startpowershell:
      Set-Service -Name "BITS" -StartupType Manual -Verbose
      Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
      Set-Service -Name "EventLog" -StartupType Automatic -Verbose
      Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
      Set-Service -Name "nsi" -StartupType Automatic -Verbose
      Set-Service -Name "RasMan" -StartupType Manual -Verbose
      Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
      Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
      Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
      Set-Service -Name "VSS" -StartupType Manual -Verbose
      Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
      Set-Service -Name "wuauserv" -StartupType Manual -Verbose
    
    # 4-14-2022 M. Naggar
    # Funtion Remove-all-windefend-excludes to Remove all exclusions on MS Windefend
    Function Remove-all-windefend-excludes {
    $Paths=(Get-MpPreference).ExclusionPath
    $Extensions=(Get-MpPreference).ExclusionExtension
    $Processes=(Get-MpPreference).ExclusionProcess
    foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
    foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
    foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
    }
    # Remove all exclusions on MS Windefend
    echo "Removing all exclusions on MS Windefend antivirus"
    Set-MpPreference -DisableAutoExclusions $true -Force
    Remove-all-windefend-excludes
    endpowershell:
    
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset catalog
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: netsh winhttp reset proxy
    CMD: Bitsadmin /Reset /Allusers
    CMD: Winmgmt /salvagerepository 
    CMD: Winmgmt /resetrepository 
    CMD: winmgmt /resyncperf
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: sfc /scannow
    
    Hosts:
    RemoveProxy:
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Alt 29.04.2022, 21:15   #8
Max511
 
Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“ - Standard

Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“



Hallo Matthias,

die fixlog Datei
Code:
ATTFilter
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 22-04-2022
durchgeführt von Bernd (29-04-2022 21:49:04) Run:1
Gestartet von E:\Downloads
Geladene Profile: Bernd
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
SystemRestore: On 
CreateRestorePoint:
CloseProcesses:
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
startpowershell:
  Set-Service -Name "BITS" -StartupType Manual -Verbose
  Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
  Set-Service -Name "EventLog" -StartupType Automatic -Verbose
  Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
  Set-Service -Name "nsi" -StartupType Automatic -Verbose
  Set-Service -Name "RasMan" -StartupType Manual -Verbose
  Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
  Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
  Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
  Set-Service -Name "VSS" -StartupType Manual -Verbose
  Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
  Set-Service -Name "wuauserv" -StartupType Manual -Verbose
# 4-14-2022 M. Naggar
# Funtion Remove-all-windefend-excludes to Remove all exclusions on MS Windefend
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
# Remove all exclusions on MS Windefend
echo "Removing all exclusions on MS Windefend antivirus"
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository 
CMD: Winmgmt /resetrepository 
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
Hosts:
RemoveProxy:
EmptyTemp:

*****************

SystemRestore: On => abgeschlossen
Wiederherstellungspunkt wurde erfolgreich erstellt.
Prozesse erfolgreich geschlossen.
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => erfolgreich entfernt
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\BookReader_B171F20233094AC88D05A8EF7B9763E8 => erfolgreich entfernt
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => erfolgreich entfernt
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => erfolgreich entfernt

========= Powershell: =========

Removing all exclusions on MS Windefend antivirus

========= Ende von Powershell: =========


========= ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

========= Ende von CMD: =========


========= netsh winsock reset catalog =========


Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.


========= Ende von CMD: =========


========= netsh advfirewall reset =========

OK.


========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.


========= Ende von CMD: =========


========= netsh winhttp reset proxy =========


Aktuelle WinHTTP-Proxyeinstellungen:

    DirectAccess (kein Proxyserver).


========= Ende von CMD: =========


========= Bitsadmin /Reset /Allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

{E29BA7CD-BFD3-46B2-A16F-ED9E12BF31AE} canceled.
{9B173D51-4E81-45A5-8D88-B658AFF9BDAC} canceled.
{AE88287C-4C4D-46EB-A4C9-ADE0BFF7366C} canceled.
{28E3B887-CC70-448C-B3CE-BE986D587892} canceled.
4 out of 4 jobs canceled.

========= Ende von CMD: =========


========= Winmgmt /salvagerepository =========

Das WMI-Repository ist konsistent.

========= Ende von CMD: =========


========= Winmgmt /resetrepository =========

Fehler beim Zurcksetzen des WMI-Repositorys
Fehlercode:	0x8007041B
Einrichtung:	Win32
Beschreibung:	Ein Stoppzeichen wurde an einen Dienst gesendet, von dem andere Dienste abh„ngen.


========= Ende von CMD: =========


========= winmgmt /resyncperf =========


========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= sfc /scannow =========



Systemsuche wird gestartet. Dieser Vorgang kann einige Zeit dauern.



Überprüfungsphase der Systemsuche wird gestartet.


Überprüfung 0 % abgeschlossen.
Überprüfung 1 % abgeschlossen.
Überprüfung 2 % abgeschlossen.
Überprüfung 2 % abgeschlossen.
Überprüfung 3 % abgeschlossen.
Überprüfung 4 % abgeschlossen.
Überprüfung 4 % abgeschlossen.
Überprüfung 5 % abgeschlossen.
Überprüfung 6 % abgeschlossen.
Überprüfung 6 % abgeschlossen.
Überprüfung 7 % abgeschlossen.
Überprüfung 8 % abgeschlossen.
Überprüfung 8 % abgeschlossen.
Überprüfung 9 % abgeschlossen.
Überprüfung 10 % abgeschlossen.
Überprüfung 11 % abgeschlossen.
Überprüfung 11 % abgeschlossen.
Überprüfung 12 % abgeschlossen.
Überprüfung 13 % abgeschlossen.
Überprüfung 13 % abgeschlossen.
Überprüfung 14 % abgeschlossen.
Überprüfung 15 % abgeschlossen.
Überprüfung 15 % abgeschlossen.
Überprüfung 16 % abgeschlossen.
Überprüfung 17 % abgeschlossen.
Überprüfung 17 % abgeschlossen.
Überprüfung 18 % abgeschlossen.
Überprüfung 19 % abgeschlossen.
Überprüfung 19 % abgeschlossen.
Überprüfung 20 % abgeschlossen.
Überprüfung 21 % abgeschlossen.
Überprüfung 22 % abgeschlossen.
Überprüfung 22 % abgeschlossen.
Überprüfung 23 % abgeschlossen.
Überprüfung 24 % abgeschlossen.
Überprüfung 24 % abgeschlossen.
Überprüfung 25 % abgeschlossen.
Überprüfung 26 % abgeschlossen.
Überprüfung 26 % abgeschlossen.
Überprüfung 27 % abgeschlossen.
Überprüfung 28 % abgeschlossen.
Überprüfung 28 % abgeschlossen.
Überprüfung 29 % abgeschlossen.
Überprüfung 30 % abgeschlossen.
Überprüfung 31 % abgeschlossen.
Überprüfung 31 % abgeschlossen.
Überprüfung 32 % abgeschlossen.
Überprüfung 33 % abgeschlossen.
Überprüfung 33 % abgeschlossen.
Überprüfung 34 % abgeschlossen.
Überprüfung 35 % abgeschlossen.
Überprüfung 35 % abgeschlossen.
Überprüfung 36 % abgeschlossen.
Überprüfung 37 % abgeschlossen.
Überprüfung 37 % abgeschlossen.
Überprüfung 38 % abgeschlossen.
Überprüfung 39 % abgeschlossen.
Überprüfung 39 % abgeschlossen.
Überprüfung 40 % abgeschlossen.
Überprüfung 41 % abgeschlossen.
Überprüfung 42 % abgeschlossen.
Überprüfung 42 % abgeschlossen.
Überprüfung 43 % abgeschlossen.
Überprüfung 44 % abgeschlossen.
Überprüfung 44 % abgeschlossen.
Überprüfung 45 % abgeschlossen.
Überprüfung 46 % abgeschlossen.
Überprüfung 46 % abgeschlossen.
Überprüfung 47 % abgeschlossen.
Überprüfung 48 % abgeschlossen.
Überprüfung 48 % abgeschlossen.
Überprüfung 49 % abgeschlossen.
Überprüfung 50 % abgeschlossen.
Überprüfung 51 % abgeschlossen.
Überprüfung 51 % abgeschlossen.
Überprüfung 52 % abgeschlossen.
Überprüfung 53 % abgeschlossen.
Überprüfung 53 % abgeschlossen.
Überprüfung 54 % abgeschlossen.
Überprüfung 55 % abgeschlossen.
Überprüfung 55 % abgeschlossen.
Überprüfung 56 % abgeschlossen.
Überprüfung 57 % abgeschlossen.
Überprüfung 57 % abgeschlossen.
Überprüfung 58 % abgeschlossen.
Überprüfung 59 % abgeschlossen.
Überprüfung 59 % abgeschlossen.
Überprüfung 60 % abgeschlossen.
Überprüfung 61 % abgeschlossen.
Überprüfung 62 % abgeschlossen.
Überprüfung 62 % abgeschlossen.
Überprüfung 63 % abgeschlossen.
Überprüfung 64 % abgeschlossen.
Überprüfung 64 % abgeschlossen.
Überprüfung 65 % abgeschlossen.
Überprüfung 66 % abgeschlossen.
Überprüfung 66 % abgeschlossen.
Überprüfung 67 % abgeschlossen.
Überprüfung 68 % abgeschlossen.
Überprüfung 68 % abgeschlossen.
Überprüfung 69 % abgeschlossen.
Überprüfung 70 % abgeschlossen.
Überprüfung 71 % abgeschlossen.
Überprüfung 71 % abgeschlossen.
Überprüfung 72 % abgeschlossen.
Überprüfung 73 % abgeschlossen.
Überprüfung 73 % abgeschlossen.
Überprüfung 74 % abgeschlossen.
Überprüfung 75 % abgeschlossen.
Überprüfung 75 % abgeschlossen.
Überprüfung 76 % abgeschlossen.
Überprüfung 77 % abgeschlossen.
Überprüfung 77 % abgeschlossen.
Überprüfung 78 % abgeschlossen.
Überprüfung 79 % abgeschlossen.
Überprüfung 79 % abgeschlossen.
Überprüfung 80 % abgeschlossen.
Überprüfung 81 % abgeschlossen.
Überprüfung 82 % abgeschlossen.
Überprüfung 82 % abgeschlossen.
Überprüfung 83 % abgeschlossen.
Überprüfung 84 % abgeschlossen.
Überprüfung 84 % abgeschlossen.
Überprüfung 85 % abgeschlossen.
Überprüfung 86 % abgeschlossen.
Überprüfung 86 % abgeschlossen.
Überprüfung 87 % abgeschlossen.
Überprüfung 88 % abgeschlossen.
Überprüfung 88 % abgeschlossen.
Überprüfung 89 % abgeschlossen.
Überprüfung 90 % abgeschlossen.
Überprüfung 91 % abgeschlossen.
Überprüfung 91 % abgeschlossen.
Überprüfung 92 % abgeschlossen.
Überprüfung 93 % abgeschlossen.
Überprüfung 93 % abgeschlossen.
Überprüfung 94 % abgeschlossen.
Überprüfung 95 % abgeschlossen.
Überprüfung 95 % abgeschlossen.
Überprüfung 96 % abgeschlossen.
Überprüfung 97 % abgeschlossen.
Überprüfung 97 % abgeschlossen.
Überprüfung 98 % abgeschlossen.
Überprüfung 99 % abgeschlossen.
Überprüfung 99 % abgeschlossen.
Überprüfung 100 % abgeschlossen.


Der Windows-Ressourcenschutz hat beschädigte Dateien gefunden und erfolgreich repariert.

Bei Onlinereparaturen finden Sie Details in der CBS-Protokolldatei unter 

windir\Logs\CBS\CBS.log. Beispiel C:\Windows\Logs\CBS\CBS.log. Bei Offlinereparaturen

finden Sie Details in der durch das /OFFLOGFILE-Kennzeichen angegebenen Protokolldatei.


========= Ende von CMD: =========

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.

========= RemoveProxy: =========

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-1396517758-4013015564-1360406219-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-1396517758-4013015564-1360406219-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 905101064 B
Java, Flash, Steam htmlcache => 1174 B
Windows/system/drivers => 6131477 B
Edge => 195042332 B
Firefox => 1867973963 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 16022 B
NetworkService => 1610430 B
Bernd => 78278008 B

RecycleBin => 6690238 B
EmptyTemp: => 2.9 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 22:12:00 ====
         

Alt 30.04.2022, 08:12   #9
M-K-D-B
/// TB-Ausbilder
 
Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“ - Standard

Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“



Aus der Logdatei:
Zitat:
Der Windows-Ressourcenschutz hat beschädigte Dateien gefunden und erfolgreich repariert.


Bei dir fehlen Windows Updates... diese solltest du zügig installieren (Schritt 2).







Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.





Schritt 1
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Rechtsklicke auf FRST64 und wähle Umbenennen.
  • Benenne FRST64 in Uninstall um.
  • Starte Uninstall.
  • FRST und die dazugehörigen Dateien/Odner werden entfernt.
  • Klicke auf Ok, um den Rechner zum Abschluss neu zu starten.





Schritt 2
Auf deinem Computer fehlt das aktuelle Funktionsupdate Version 21H2.
Zitat:
Plattform: Microsoft Windows 10 Home Version 21H1 19043.1645
  • Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
  • Wähle alle angebotenen Kumulativen Updates bzw. Funktionsupdates aus, downloade und installiere sie.
  • Starte den Rechner zum Abschluss neu.
  • Wiederhole den Vorgang, bis keine neuen Updates mehr angezeigt werden.





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alt 30.04.2022, 09:44   #10
Max511
 
Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“ - Standard

Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“



Hallo Matthias,

vielen Dank für Deine Hilfe. Die Schritte habe ich abgearbeitet.
Ich werde euch noch eine kleine Spende schicken für die tolle Hilfe.

Noch ein Frage. Aktuell ist nun Malwarebytes als Virenschutz aktiv. Soll ich diesen ebenfalls deinstallieren und wieder den MS Defender benutzen?

Alt 30.04.2022, 12:42   #11
M-K-D-B
/// TB-Ausbilder
 
Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“ - Standard

Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“



Zitat:
Zitat von Max511 Beitrag anzeigen
Noch ein Frage. Aktuell ist nun Malwarebytes als Virenschutz aktiv. Soll ich diesen ebenfalls deinstallieren und wieder den MS Defender benutzen?
Malwarebytes würde ich auf dem Rechner belassen und 1x wöchentlich damit scannen.

Das kostenlose Testabo von Malwarebytes (14 Tage) mit aktiviertem Schutz kannst du wie folgt in die kostenlose Version "umwandeln":
  • Starte MBAM und klicke rechts oben auf Einstellungen (Zahnradsymbol).
  • Wähle den Tab Konto aus und klicke auf Lizenz deaktivieren, bestätige die Nachfrage mit Ja.
  • Windows Defender wird sich automatisch wieder aktivieren.
  • Du kannst MBAM zur regelmäßigen Kontrolle auf dem Computer belassen.





Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums.



Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

Thema geschlossen

Themen zu Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“
.dll, adobe, cpu, defender, e-mail, email, firefox, helper, home, internet, internet explorer, microsoft defender, mozilla, port, problem, programm, prozesse, realtek, registry, services.exe, spam, svchost.exe, udp, updates, windows, wmi



Ähnliche Themen: Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“


  1. Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“
    Mülltonne - 29.04.2022 (1)
  2. Windows 10: Trojan:Script/Woreflint.A!cl von Windows Defender erkannt, aber immer wieder als aktiv gekennzeichnet
    Plagegeister aller Art und deren Bekämpfung - 05.02.2021 (23)
  3. Spieleentwickler Crytek und Ubisoft möglicherweise Opfer einer Ransomware-Gang
    Nachrichten - 16.10.2020 (0)
  4. Windows 7: Trojan.Script.472335
    Log-Analyse und Auswertung - 25.03.2015 (1)
  5. die Echtheit dieser Windows 7 Version Build 7601 wurde noch nicht bestätigt? Möglicherweise sind Sie Opfer einer Softwarefälschung!
    Alles rund um Windows - 05.04.2014 (2)
  6. win32.Trojan-spy.VIS.A, Script. Trojan-Spy.VIS.B (engineB) - Bankpassworttrojaner gefunden!
    Plagegeister aller Art und deren Bekämpfung - 31.03.2014 (19)
  7. Möglicherweise Opfer Softwarefälschung/Norton funktioniert nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 12.03.2014 (19)
  8. [Win XP] botnet: ntp-muliplier; desinfect: Trojan.Script.Iframer, Trojan.Heur.TP, Win.Trojan.Iniduoh, Win.Trojan.Ramnit
    Log-Analyse und Auswertung - 08.02.2014 (16)
  9. HEUR:Trojan.Script.Generic
    Log-Analyse und Auswertung - 10.12.2013 (17)
  10. Trojan.Script.Generic und not-a-virus
    Log-Analyse und Auswertung - 03.10.2013 (3)
  11. Fehlermeldung: möglicherweise sind sie opfer einer softwarefälschung
    Plagegeister aller Art und deren Bekämpfung - 23.04.2013 (3)
  12. Trojan.Script.Iframer
    Plagegeister aller Art und deren Bekämpfung - 05.02.2011 (16)
  13. Opfer von Malware / Script Datei *.vbs fehlt
    Log-Analyse und Auswertung - 15.09.2010 (3)
  14. Trojan.Generic.IS.541395 und Trojan.Script.190190
    Plagegeister aller Art und deren Bekämpfung - 29.03.2010 (17)
  15. HEUR:Trojan.Script.Iframer
    Plagegeister aller Art und deren Bekämpfung - 27.04.2009 (1)
  16. Trojan.Script.Iframer (buxflow.com)
    Plagegeister aller Art und deren Bekämpfung - 30.03.2009 (1)
  17. trojan.zlob.g - ein weiteres opfer
    Plagegeister aller Art und deren Bekämpfung - 09.12.2008 (2)

Zum Thema Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“ - Guten Tag, Leider wurde in einer Spam E-Mail der htm. Anhang aufgerufen. Beim Öffnen des Anhangs hat direkt der Windows Defender angeschlagen und mir folgende Meldung angezeigt: „Trojan:Script/Woreflint.A!cl“. Beim Schließen - Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“...
Archiv
Du betrachtest: Möglicherweise Opfer von „Trojan:Script/Woreflint.A!cl“ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.