Hallo zusammen,
ich habe einen W10 Desktop der direkt nach dem Start des OS einen ca. 2 minütigen Upload mit voller Bandbreite verursacht. Auch wenn kein Benutzer angemeldet ist. Kommt also eher vom System als vom Benutzer. Ich habe keinerlei Schlangenöl im Einsatz, Standard ist natürlich der MS Defender.

Leider sind meine logs viel zu groß, also habe ich sie mal angehängt.

Ich wollte mich gestern ja schon melden, merkwürdigerweise akzeptiert GMAIL wohl keine Mails von euch!? Mit GMX kam die Bestätigungsmail sofort.

Vielen Dank und viele Grüße
Torben

Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.



Ich analysiere die Logdateien und melde mich später wieder.

Servus,




seit wann besteht das Problem?



Wir entfernen verwaiste Einträge und kontrollieren die Systemdateien auf Fehler. Dies kann einige Minuten dauern.

Beschreibe, ob es sich nach dem Schritt gebessert hat.




Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  SystemRestore: On 
  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\Run: [EADM] => "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart (Keine Datei)
  HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\torben\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Keine Datei)
  HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\torben\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Keine Datei)
  GroupPolicy: Beschränkung ? <==== ACHTUNG
  Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
  startpowershell:
  Function Remove-all-windefend-excludes {
  $Paths=(Get-MpPreference).ExclusionPath
  $Extensions=(Get-MpPreference).ExclusionExtension
  $Processes=(Get-MpPreference).ExclusionProcess
  foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
  foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
  foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
  }
  Set-MpPreference -DisableAutoExclusions $true -Force
  Remove-all-windefend-excludes
  endpowershell:
  CMD: netsh winsock reset
  CMD: netsh int ip reset
  CMD: ipconfig /release
  CMD: ipconfig /renew
  CMD: ipconfig /flushdns
  CMD: ipconfig /registerdns
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: netsh winhttp reset proxy
  CMD: Bitsadmin /Reset /Allusers
  CMD: Winmgmt /salvagerepository 
  CMD: Winmgmt /resetrepository 
  CMD: winmgmt /resyncperf
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: sfc /scannow
  Hosts:
  RemoveProxy:
  EmptyTemp:
  Reboot:
  End::
           

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit dieser Reparatur werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  • Mit dieser Reparatur werden die Windows Firewall-Einstellungen zurückgesetzt. Du wirst möglicherweise später aufgefordert, legitimen Programmen eine Erlaubnis/Ausnahme für die Firewall zu erteilen. Dies solltest du dann erlauben/zulassen.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Hallo. Vielen Dank für Deinen Support.
So richtig aufgefallen ist es mit seit ca. 3 Tagen.
Ich hatte schon einmal das gleich Phänomen, damals habe ich den Rechner neu installiert, aber das möchte ich eigentlich nicht schon wieder machen. Klar, wenn alles nichts hilft.

Leider änderte die Aktion an meinem Problem nichts. Sobald der PC gestartet ist, wieder eine volle Belegung des Upstreams.

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 05-07-2023
durchgeführt von torben (05-07-2023 16:26:40) Run:1
Gestartet von C:\Users\LumiS\Downloads
Geladene Profile: LumiS & torben
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
Start::
SystemRestore: On 
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\Run: [EADM] => "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart (Keine Datei)
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\torben\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Keine Datei)
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\torben\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Keine Datei)
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository 
CMD: Winmgmt /resetrepository 
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
Hosts:
RemoveProxy:
EmptyTemp:
Reboot:
End::
         
*****************

SystemRestore: On => abgeschlossen
Wiederherstellungspunkt wurde erfolgreich erstellt.
Prozesse erfolgreich geschlossen.
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\Software\Microsoft\Windows\CurrentVersion\Run\\EADM" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Delete Cached Update Binary" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Delete Cached Standalone Update Binary" => erfolgreich entfernt
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\Windows\SysWOW64\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\ProgramData\NTUSER.pol => erfolgreich verschoben

========= Powershell: =========


========= Ende von Powershell: =========


========= netsh winsock reset =========


Der Winsock-Katalog wurde zur�ckgesetzt.
Sie m�ssen den Computer neu starten, um den Vorgang abzuschlieáen.



========= Ende von CMD: =========


========= netsh int ip reset =========

Depotweiterleitung wird zur�ckgesetzt... OK
Depot wird zur�ckgesetzt... OK
Steuerungsprotokoll wird zur�ckgesetzt... OK
Echosequenzanforderung wird zur�ckgesetzt... OK
Global wird zur�ckgesetzt... OK
Schnittstelle wird zur�ckgesetzt... OK
Anycastadresse wird zur�ckgesetzt... OK
Multicastadresse wird zur�ckgesetzt... OK
Unicastadresse wird zur�ckgesetzt... OK
Nachbar wird zur�ckgesetzt... OK
Pfad wird zur�ckgesetzt... OK
Potentiell wird zur�ckgesetzt... OK
Pr„fixrichtlinie wird zur�ckgesetzt... OK
Proxynachbar wird zur�ckgesetzt... OK
Route wird zur�ckgesetzt... OK
Standordpr„fix wird zur�ckgesetzt... OK
Unterschnittstelle wird zur�ckgesetzt... OK
Reaktivierungsmuster wird zur�ckgesetzt... OK
Nachbar aufl”sen wird zur�ckgesetzt... OK
 wird zur�ckgesetzt... OK
 wird zur�ckgesetzt... OK
 wird zur�ckgesetzt... OK
 wird zur�ckgesetzt... OK
 wird zur�ckgesetzt... Fehler
Zugriff verweigert

 wird zur�ckgesetzt... OK
 wird zur�ckgesetzt... OK
 wird zur�ckgesetzt... OK
 wird zur�ckgesetzt... OK
 wird zur�ckgesetzt... OK
 wird zur�ckgesetzt... OK
 wird zur�ckgesetzt... OK
 wird zur�ckgesetzt... OK
Starten Sie den Computer neu, um die Aktion abzuschlieáen.



========= Ende von CMD: =========


========= ipconfig /release =========


Windows-IP-Konfiguration

Es kann kein Vorgang auf Ethernet ausgef�hrt werden, solange dessen Medium nicht
verbunden ist.
Es kann kein Vorgang auf Ethernet 2 ausgef�hrt werden, solange dessen Medium nicht
verbunden ist.

Ethernet-Adapter Ethernet:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 

Ethernet-Adapter Ethernet 2:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 

Ethernet-Adapter Ethernet 3:

   Verbindungsspezifisches DNS-Suffix: 
   IPv6-Adresse. . . . . . . . . . . : 2003:c0:574f:9c00:297a:12d2:51c3:ea81
   Tempor„re IPv6-Adresse. . . . . . : 2003:c0:574f:9c00:ac65:e038:4009:298f
   Verbindungslokale IPv6-Adresse  . : fe80::49e9:8306:9d5a:84cf%6
   Standardgateway . . . . . . . . . : fe80::464e:6dff:feab:e338%6


========= Ende von CMD: =========


========= ipconfig /renew =========


Windows-IP-Konfiguration

Es kann kein Vorgang auf Ethernet ausgef�hrt werden, solange dessen Medium nicht
verbunden ist.
Es kann kein Vorgang auf Ethernet 2 ausgef�hrt werden, solange dessen Medium nicht
verbunden ist.

Ethernet-Adapter Ethernet:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 

Ethernet-Adapter Ethernet 2:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 

Ethernet-Adapter Ethernet 3:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   IPv6-Adresse. . . . . . . . . . . : 2003:c0:574f:9c00:297a:12d2:51c3:ea81
   Tempor„re IPv6-Adresse. . . . . . : 2003:c0:574f:9c00:ac65:e038:4009:298f
   Verbindungslokale IPv6-Adresse  . : fe80::49e9:8306:9d5a:84cf%6
   IPv4-Adresse  . . . . . . . . . . : 10.10.10.104
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : fe80::464e:6dff:feab:e338%6
                                       10.10.10.1


========= Ende von CMD: =========


========= ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.


========= Ende von CMD: =========


========= ipconfig /registerdns =========


Windows-IP-Konfiguration

Die Registrierung der DNS-Ressourceneintr„ge f�r alle Adapter dieses Computer wurde initialisiert. Fehler werden in der Ereignisanzeige in 15 Minuten aufgef�hrt.


========= Ende von CMD: =========


========= netsh advfirewall reset =========

OK.



========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.



========= Ende von CMD: =========


========= netsh winhttp reset proxy =========


Aktuelle WinHTTP-Proxyeinstellungen:

    DirectAccess (kein Proxyserver).



========= Ende von CMD: =========


========= Bitsadmin /Reset /Allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

Unable to cancel {9720FDFB-9E5A-4C30-841F-34BA765C9E8C}.
Unable to cancel {FD23E3EB-8E43-4C0B-BD77-2312BB01BA5A}.
0 out of 2 jobs canceled.


========= Ende von CMD: =========


========= Winmgmt /salvagerepository =========

Das WMI-Repository ist konsistent.


========= Ende von CMD: =========


========= Winmgmt /resetrepository =========

Das WMI-Repository wurde zur�ckgesetzt.


========= Ende von CMD: =========


========= winmgmt /resyncperf =========

0

========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= sfc /scannow =========



Systemsuche wird gestartet. Dieser Vorgang kann einige Zeit dauern.



Überprüfungsphase der Systemsuche wird gestartet.


Überprüfung 0 % abgeschlossen.
Überprüfung 1 % abgeschlossen.
Überprüfung 1 % abgeschlossen.
Überprüfung 2 % abgeschlossen.
Überprüfung 3 % abgeschlossen.
Überprüfung 3 % abgeschlossen.
Überprüfung 4 % abgeschlossen.
Überprüfung 4 % abgeschlossen.
Überprüfung 5 % abgeschlossen.
Überprüfung 6 % abgeschlossen.
Überprüfung 6 % abgeschlossen.
Überprüfung 7 % abgeschlossen.
Überprüfung 8 % abgeschlossen.
Überprüfung 8 % abgeschlossen.
Überprüfung 9 % abgeschlossen.
Überprüfung 9 % abgeschlossen.
Überprüfung 10 % abgeschlossen.
Überprüfung 11 % abgeschlossen.
Überprüfung 11 % abgeschlossen.
Überprüfung 12 % abgeschlossen.
Überprüfung 13 % abgeschlossen.
Überprüfung 13 % abgeschlossen.
Überprüfung 14 % abgeschlossen.
Überprüfung 14 % abgeschlossen.
Überprüfung 15 % abgeschlossen.
Überprüfung 16 % abgeschlossen.
Überprüfung 16 % abgeschlossen.
Überprüfung 17 % abgeschlossen.
Überprüfung 18 % abgeschlossen.
Überprüfung 18 % abgeschlossen.
Überprüfung 19 % abgeschlossen.
Überprüfung 19 % abgeschlossen.
Überprüfung 20 % abgeschlossen.
Überprüfung 21 % abgeschlossen.
Überprüfung 21 % abgeschlossen.
Überprüfung 22 % abgeschlossen.
Überprüfung 22 % abgeschlossen.
Überprüfung 23 % abgeschlossen.
Überprüfung 24 % abgeschlossen.
Überprüfung 24 % abgeschlossen.
Überprüfung 25 % abgeschlossen.
Überprüfung 26 % abgeschlossen.
Überprüfung 26 % abgeschlossen.
Überprüfung 27 % abgeschlossen.
Überprüfung 27 % abgeschlossen.
Überprüfung 28 % abgeschlossen.
Überprüfung 29 % abgeschlossen.
Überprüfung 29 % abgeschlossen.
Überprüfung 30 % abgeschlossen.
Überprüfung 31 % abgeschlossen.
Überprüfung 31 % abgeschlossen.
Überprüfung 32 % abgeschlossen.
Überprüfung 32 % abgeschlossen.
Überprüfung 33 % abgeschlossen.
Überprüfung 34 % abgeschlossen.
Überprüfung 34 % abgeschlossen.
Überprüfung 35 % abgeschlossen.
Überprüfung 36 % abgeschlossen.
Überprüfung 36 % abgeschlossen.
Überprüfung 37 % abgeschlossen.
Überprüfung 37 % abgeschlossen.
Überprüfung 38 % abgeschlossen.
Überprüfung 39 % abgeschlossen.
Überprüfung 39 % abgeschlossen.
Überprüfung 40 % abgeschlossen.
Überprüfung 40 % abgeschlossen.
Überprüfung 41 % abgeschlossen.
Überprüfung 42 % abgeschlossen.
Überprüfung 42 % abgeschlossen.
Überprüfung 43 % abgeschlossen.
Überprüfung 44 % abgeschlossen.
Überprüfung 44 % abgeschlossen.
Überprüfung 45 % abgeschlossen.
Überprüfung 45 % abgeschlossen.
Überprüfung 46 % abgeschlossen.
Überprüfung 47 % abgeschlossen.
Überprüfung 47 % abgeschlossen.
Überprüfung 48 % abgeschlossen.
Überprüfung 49 % abgeschlossen.
Überprüfung 49 % abgeschlossen.
Überprüfung 50 % abgeschlossen.
Überprüfung 50 % abgeschlossen.
Überprüfung 51 % abgeschlossen.
Überprüfung 52 % abgeschlossen.
Überprüfung 52 % abgeschlossen.
Überprüfung 53 % abgeschlossen.
Überprüfung 54 % abgeschlossen.
Überprüfung 54 % abgeschlossen.
Überprüfung 55 % abgeschlossen.
Überprüfung 55 % abgeschlossen.
Überprüfung 56 % abgeschlossen.
Überprüfung 57 % abgeschlossen.
Überprüfung 57 % abgeschlossen.
Überprüfung 58 % abgeschlossen.
Überprüfung 58 % abgeschlossen.
Überprüfung 59 % abgeschlossen.
Überprüfung 60 % abgeschlossen.
Überprüfung 60 % abgeschlossen.
Überprüfung 61 % abgeschlossen.
Überprüfung 62 % abgeschlossen.
Überprüfung 62 % abgeschlossen.
Überprüfung 63 % abgeschlossen.
Überprüfung 63 % abgeschlossen.
Überprüfung 64 % abgeschlossen.
Überprüfung 65 % abgeschlossen.
Überprüfung 65 % abgeschlossen.
Überprüfung 66 % abgeschlossen.
Überprüfung 67 % abgeschlossen.
Überprüfung 67 % abgeschlossen.
Überprüfung 68 % abgeschlossen.
Überprüfung 68 % abgeschlossen.
Überprüfung 69 % abgeschlossen.
Überprüfung 70 % abgeschlossen.
Überprüfung 70 % abgeschlossen.
Überprüfung 71 % abgeschlossen.
Überprüfung 72 % abgeschlossen.
Überprüfung 72 % abgeschlossen.
Überprüfung 73 % abgeschlossen.
Überprüfung 73 % abgeschlossen.
Überprüfung 74 % abgeschlossen.
Überprüfung 75 % abgeschlossen.
Überprüfung 75 % abgeschlossen.
Überprüfung 76 % abgeschlossen.
Überprüfung 76 % abgeschlossen.
Überprüfung 77 % abgeschlossen.
Überprüfung 78 % abgeschlossen.
Überprüfung 78 % abgeschlossen.
Überprüfung 79 % abgeschlossen.
Überprüfung 80 % abgeschlossen.
Überprüfung 80 % abgeschlossen.
Überprüfung 81 % abgeschlossen.
Überprüfung 81 % abgeschlossen.
Überprüfung 82 % abgeschlossen.
Überprüfung 83 % abgeschlossen.
Überprüfung 83 % abgeschlossen.
Überprüfung 84 % abgeschlossen.
Überprüfung 85 % abgeschlossen.
Überprüfung 85 % abgeschlossen.
Überprüfung 86 % abgeschlossen.
Überprüfung 86 % abgeschlossen.
Überprüfung 87 % abgeschlossen.
Überprüfung 88 % abgeschlossen.
Überprüfung 88 % abgeschlossen.
Überprüfung 89 % abgeschlossen.
Überprüfung 90 % abgeschlossen.
Überprüfung 90 % abgeschlossen.
Überprüfung 91 % abgeschlossen.
Überprüfung 91 % abgeschlossen.
Überprüfung 92 % abgeschlossen.
Überprüfung 93 % abgeschlossen.
Überprüfung 93 % abgeschlossen.
Überprüfung 94 % abgeschlossen.
Überprüfung 94 % abgeschlossen.
Überprüfung 95 % abgeschlossen.
Überprüfung 96 % abgeschlossen.
Überprüfung 96 % abgeschlossen.
Überprüfung 97 % abgeschlossen.
Überprüfung 98 % abgeschlossen.
Überprüfung 98 % abgeschlossen.
Überprüfung 99 % abgeschlossen.
Überprüfung 99 % abgeschlossen.
Überprüfung 100 % abgeschlossen.


Der Windows-Ressourcenschutz hat beschädigte Dateien gefunden und erfolgreich repariert.

Bei Onlinereparaturen finden Sie Details in der CBS-Protokolldatei unter 

windir\Logs\CBS\CBS.log. Beispiel C:\Windows\Logs\CBS\CBS.log. Bei Offlinereparaturen

finden Sie Details in der durch das /OFFLOGFILE-Kennzeichen angegebenen Protokolldatei.



========= Ende von CMD: =========

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.

========= RemoveProxy: =========

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => abgeschlossen
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 12632558 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 9878776 B
Windows/system/drivers => 150265 B
Edge => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 514 B
LocalService => 8758 B
NetworkService => 451618 B
LumiS => 7819316 B
torben => 91712249 B

RecycleBin => 0 B
EmptyTemp: => 117 MB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 16:28:53 ====
         

Zitat:

Zitat von mehlmonster

Sobald der PC gestartet ist, wieder eine volle Belegung des Upstreams.

Wie stellst du das überhaupt fest?

ich arbeite im Home-Office und habe öfters mal Telco's, die ebenfalls über mein WLAN laufen.
Ich telefoniere also fröhlich in meiner Telco, starte meinen Privat-PC neu und auf einmal fliegt mir der VPN Tunnel weg. Also Fehlersuche... Fritz checken, dort sehe ich wie der Upload zu 100% ausgelsatet ist. Und da ich meinen Privat-PC priorisiert habe, frisst er natülich die komplette Bandbreite.

Dann nimm doch mal testweise die Priorisierung weg. Wozu ist die überhaupt?
Ansonsten könnte man mal mit sowas wie Wireshark nachschauen. Man müsste nur schnell sein, am besten Wireshark installieren, in den Autostart packen und dann System neu starten. Dann hoffen, dass Wireshark schnell genug startet und die Pakete aufzeichnen kann, die die Last verursachen.

Alternativ kann du auch erstmal mit ProcessHacker arbeiten. Auch das in den Autostart und dann im Network-Tab nachschauen, welcher Prozess da Upload erzeugt.

Also in den Logdateien von FRST kann ich keine Malware erkennen.

Wir können aber zur Kontrolle gerne noch ESET und KVRT laufen lassen, wenn du möchtest. Ich glaube zwar nicht wirklich, dass die fündig werden, aber eine Zweit- oder Drittmeinung kann ja nicht schaden.




Schritt 1
Führe ESET Online Scanner (EOS) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe das Kaspersky Virus Removal Tool (KVRT) gemäß der bebilderten Anleitung aus und poste abschließend die Logdateien.

Zitat:

Zitat von cosinus

Dann nimm doch mal testweise die Priorisierung weg. Wozu ist die überhaupt?
Ansonsten könnte man mal mit sowas wie Wireshark nachschauen. Man müsste nur schnell sein, am besten Wireshark installieren, in den Autostart packen und dann System neu starten. Dann hoffen, dass Wireshark schnell genug startet und die Pakete aufzeichnen kann, die die Last verursachen.

Alternativ kann du auch erstmal mit ProcessHacker arbeiten. Auch das in den Autostart und dann im Network-Tab nachschauen, welcher Prozess da Upload erzeugt.

Die Priorisierung dient doch nur der Verteilung der kompletten Bandbreite (50MBit) auf der Fritz.Box. Ich habe einen halbstarken Sohnematz, wenn ich mich nicht priorisieren würde, hätte ich wahrscheinlich nur nur noch 1MBit download!
ProcessHacker schaue ich mir gerade an.

Werde jetzt erstmal noch die anderen Virenscanner drüber jagen... ich melde mich, Danke euch!

Ok, gib Bescheid.

Zitat:

Zitat von M-K-D-B

Ok, gib Bescheid.

Also ich habe ESET mal laufen lassen, hat auch etwas gefunden, allerdings etwas harmloses, ein Skript von einer damaliegen Linux-Penetration-CD vom Linux-Magazin. Es wurde in den Quarantäne Ordner verschoben, danach habe ich das komplette CD-Image gelöscht.

Jetzt habe ich ein neues Problem. Nach der Deinstallion von ESET kann ich mit dem Firefox nicht mehr auf meine Fritz.Box zugreifen. Mit Chrome ist das kein Problem. Ich habe auch schon diesen Extra-ESET-Uninstaller verwendet, keine Besserung.

Mein Initialproblem besteht auch noch weiterhin. Ich versuche es heute mal mit Wireshark. Ich melde mich...

Zitat:

Zitat von mehlmonster

Also ich habe ESET mal laufen lassen, hat auch etwas gefunden, allerdings etwas harmloses, ein Skript von einer damaliegen Linux-Penetration-CD vom Linux-Magazin. Es wurde in den Quarantäne Ordner verschoben, danach habe ich das komplette CD-Image gelöscht.

Jetzt habe ich ein neues Problem. Nach der Deinstallion von ESET kann ich mit dem Firefox nicht mehr auf meine Fritz.Box zugreifen. Mit Chrome ist das kein Problem. Ich habe auch schon diesen Extra-ESET-Uninstaller verwendet, keine Besserung.

Mein Initialproblem besteht auch noch weiterhin. Ich versuche es heute mal mit Wireshark. Ich melde mich...

Also das Problem mit der Anmeldung und Zertifikatsfehler, habe ich gerade gelöst.
Einfach mal die
%APPDATA%\Mozilla\Firefox\Profiles\*DeinFirefoxProfil\cert9.db in cert9.db.old unbenant.

Das geht wieder...

Lass mal bitte KVRT wie beschrieben laufen.



Danach nochmal einen neuen Scan mit FRST:

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Da habe ich doch tatsächlich -dontencrypt vergessen.
Sorry, ich hänge es mal an.

Zitat:

Zitat von M-K-D-B

Lass mal bitte KVRT wie beschrieben laufen.



Danach nochmal einen neuen Scan mit FRST:

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Der Process Hacker ist keine malware...