Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Thema geschlossen
Alt 02.08.2023, 16:53   #1
xool
 
Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord - Standard

Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord



Hallo,

Verdacht hatte ich geschoepft, als Ende letzter Woche Discord sich seltsam bei Ton sowie Videowiedergabe verhalten hat und nachdem am naechsten Tag ueber den 2. sound output von Discord (Discord hat einmal fuer voice und einmal fuer Windowsbenachrichtigungen einen Regler im Lautstaerkemixer), der eigentlich fuer Benachrichtigungen war, hoeren konnte, wie jemand Zwiebeln oder sowas schneidet, voice output war gemutet und sonst keine Soundquelle meines Wissens nach aktiv, da hatte ich den Lautstaerkemixer geprueft. Daraufhin habe ich das Eventlog von Windows durchforstet und allerlei seltsame Eintraege gefunden, z.B. dass zuletzt 2 Skripte in Powershell ausgefuehrt wurden, die keinen Microsoft header hatten im Gegensatz zu den anderen Skripts, zu einer Zeit, wo ich nichts besonderes gemacht habe. Oder dass verdaechtig viele logons von System (S-1-5-18) gelogt waren, sowie noch mehr starts diesbzgl von svchost wo mein Volumen an Aktivitaet am PC in keiner Relation stand. Habe daraufhin erstmal alle moeglichen Dienste, die man nicht braucht deaktiviert, sowie allerlei Gruppen- und Sicherheitsrichtlinien erstellt. Auch waren laut log oefter Kompatibilitaetspatches fuer msedge installiert worden, wobei mir der Browser kein update angezeigt hat. Der wpad Dienst hatte sich trotz Deaktivierung wieder gestartet und ab da an konnte ich den nicht mehr beenden, der Funkverwaltungsdienst hatte sich auch wieder gestartet und laesst sich nicht mehr beenden, der IKEEXT Dienst hatte auch auf einmal staendig einen prozess laufen, der war mir zumindest frueher nicht aufgefallen, dass der so oft einen Prozess hat. Dann fing auf einmal irgendann der VSS Dienst an zu arbeiten, dabei wuesste ich nicht, dass ich was angestossen haette eine Schattenkopie zu erstellen, wobei man den wohl auch fuer Datamining nutzen kann laut Microsoft. Folgender Eintrag taucht seit dem 12.07. vielmals taeglich im Log auf, aber keine Ahnung, ob es da einen Zusammenhang gibt: Event ID 1010 von ModernDeployment-Diagnostics-Provider
Code:
ATTFilter
Autopilot.dll WIL-Fehler wurde gemeldet. 
HRESULT: 0x80070491
Datei: onecoreuap\admin\moderndeployment\autopilot\dll\dllmain.cpp, Zeile 185
Meldung:  NULL
         
Dazu werden auch jetzt gerade waehrend ich schreibe mittels meines accounts neue msedge prozesse im Aufrag von jeweils 'nem anderen msedge prozess erstellt.
Was ich bisher gemacht habe:
Full scan des Systems mit Microsoft Defender hat Trojan:Win32.CoinMiner angezeigt die letzten Zeichen weiss ich nicht mehr, der Eintrag wurde aber aus dem GUI iwie geloescht, jetzt heisst es PU statt Trojan. Dann wurde noch 1 PUA gefunden da erinnere ich mich leider nicht mehr an den Namen. Danach habe ich per Powershell Get-MpComputerStatus, Get-MpPreference und Get-MpThreatdetection ausgefuehrt, hier der Bericht:
Code:
ATTFilter
PS C:\Windows\system32> Get-MpComputerStatus


AMEngineVersion                  : 1.1.23060.1005
AMProductVersion                 : 4.18.23050.9
AMRunningMode                    : Normal
AMServiceEnabled                 : True
AMServiceVersion                 : 4.18.23050.9
AntispywareEnabled               : True
AntispywareSignatureAge          : 0
AntispywareSignatureLastUpdated  : 02.08.2023 06:25:32
AntispywareSignatureVersion      : 1.393.2059.0
AntivirusEnabled                 : True
AntivirusSignatureAge            : 0
AntivirusSignatureLastUpdated    : 02.08.2023 06:25:32
AntivirusSignatureVersion        : 1.393.2059.0
BehaviorMonitorEnabled           : True
ComputerID                       : EEC0F1B5-BBA1-43E5-BCB8-BC830C168D02
ComputerState                    : 0
DefenderSignaturesOutOfDate      : False
DeviceControlDefaultEnforcement  : Default Allow
DeviceControlPoliciesLastUpdated : 27.03.2023 14:54:13
DeviceControlState               : Disabled
FullScanAge                      : 0
FullScanEndTime                  : 02.08.2023 11:13:31
FullScanOverdue                  : False
FullScanRequired                 : False
FullScanSignatureVersion         : 1.393.1991.0
FullScanStartTime                : 02.08.2023 08:46:29
IoavProtectionEnabled            : True
IsTamperProtected                : True
IsVirtualMachine                 : False
LastFullScanSource               : 1
LastQuickScanSource              : 1
NISEnabled                       : True
NISEngineVersion                 : 1.1.23060.1005
NISSignatureAge                  : 0
NISSignatureLastUpdated          : 02.08.2023 06:25:32
NISSignatureVersion              : 1.393.2059.0
OnAccessProtectionEnabled        : True
ProductStatus                    : 524288
QuickScanAge                     : 0
QuickScanEndTime                 : 02.08.2023 05:20:45
QuickScanOverdue                 : False
QuickScanSignatureVersion        : 1.393.1991.0
QuickScanStartTime               : 02.08.2023 05:20:27
RealTimeProtectionEnabled        : True
RealTimeScanDirection            : 0
RebootRequired                   : False
SmartAppControlExpiration        :
SmartAppControlState             : Off
TamperProtectionSource           : N/A
TDTMode                          : N/A
TDTSiloType                      : N/A
TDTStatus                        : N/A
TDTTelemetry                     : N/A
TroubleShootingDailyMaxQuota     :
TroubleShootingDailyQuotaLeft    :
TroubleShootingEndTime           :
TroubleShootingExpirationLeft    :
TroubleShootingMode              :
TroubleShootingModeSource        :
TroubleShootingQuotaResetTime    :
TroubleShootingStartTime         :
PSComputerName                   :



PS C:\Windows\system32> Get-MpPreference


AllowDatagramProcessingOnWinServer                    : False
AllowNetworkProtectionDownLevel                       : False
AllowNetworkProtectionOnWinServer                     : False
AllowSwitchToAsyncInspection                          : False
AttackSurfaceReductionOnlyExclusions                  :
AttackSurfaceReductionRules_Actions                   :
AttackSurfaceReductionRules_Ids                       :
AttackSurfaceReductionRules_RuleSpecificExclusions    :
AttackSurfaceReductionRules_RuleSpecificExclusions_Id :
CheckForSignaturesBeforeRunningScan                   : False
CloudBlockLevel                                       : 0
CloudExtendedTimeout                                  : 0
ComputerID                                            : EEC0F1B5-BBA1-43E5-BCB8-BC830C168D02
ControlledFolderAccessAllowedApplications             :
ControlledFolderAccessProtectedFolders                :
DefinitionUpdatesChannel                              : 0
DisableArchiveScanning                                : False
DisableAutoExclusions                                 : False
DisableBehaviorMonitoring                             : False
DisableBlockAtFirstSeen                               : False
DisableCacheMaintenance                               : False
DisableCatchupFullScan                                : True
DisableCatchupQuickScan                               : True
DisableCpuThrottleOnIdleScans                         : True
DisableDatagramProcessing                             : False
DisableDnsOverTcpParsing                              : False
DisableDnsParsing                                     : False
DisableEmailScanning                                  : True
DisableFtpParsing                                     : False
DisableGradualRelease                                 : False
DisableHttpParsing                                    : False
DisableInboundConnectionFiltering                     : False
DisableIOAVProtection                                 : False
DisableNetworkProtectionPerfTelemetry                 : False
DisablePrivacyMode                                    : False
DisableRdpParsing                                     : False
DisableRealtimeMonitoring                             : False
DisableRemovableDriveScanning                         : True
DisableRestorePoint                                   : True
DisableScanningMappedNetworkDrivesForFullScan         : True
DisableScanningNetworkFiles                           : False
DisableScriptScanning                                 : False
DisableSmtpParsing                                    : False
DisableSshParsing                                     : False
DisableTlsParsing                                     : False
EnableControlledFolderAccess                          : 1
EnableDnsSinkhole                                     : True
EnableFileHashComputation                             : False
EnableFullScanOnBatteryPower                          : False
EnableLowCpuPriority                                  : False
EnableNetworkProtection                               : 0
EngineUpdatesChannel                                  : 0
ExclusionExtension                                    :
ExclusionIpAddress                                    :
ExclusionPath                                         :
ExclusionProcess                                      :
ForceUseProxyOnly                                     : False
HighThreatDefaultAction                               : 0
IntelTDTEnabled                                       :
LowThreatDefaultAction                                : 0
MAPSReporting                                         : 2
MeteredConnectionUpdates                              : False
ModerateThreatDefaultAction                           : 0
OobeEnableRtpAndSigUpdate                             : False
PlatformUpdatesChannel                                : 0
ProxyBypass                                           :
ProxyPacUrl                                           :
ProxyServer                                           :
PUAProtection                                         : 1
QuarantinePurgeItemsAfterDelay                        : 90
RandomizeScheduleTaskTimes                            : True
RealTimeScanDirection                                 : 0
RemediationScheduleDay                                : 0
RemediationScheduleTime                               : 02:00:00
ReportDynamicSignatureDroppedEvent                    : False
ReportingAdditionalActionTimeOut                      : 10080
ReportingCriticalFailureTimeOut                       : 10080
ReportingNonCriticalTimeOut                           : 1440
ScanAvgCPULoadFactor                                  : 50
ScanOnlyIfIdleEnabled                                 : True
ScanParameters                                        : 1
ScanPurgeItemsAfterDelay                              : 15
ScanScheduleDay                                       : 0
ScanScheduleOffset                                    : 120
ScanScheduleQuickScanTime                             : 00:00:00
ScanScheduleTime                                      : 02:00:00
SchedulerRandomizationTime                            : 4
ServiceHealthReportInterval                           : 60
SevereThreatDefaultAction                             : 0
SharedSignaturesPath                                  :
SignatureAuGracePeriod                                : 0
SignatureBlobFileSharesSources                        :
SignatureBlobUpdateInterval                           : 60
SignatureDefinitionUpdateFileSharesSources            :
SignatureDisableUpdateOnStartupWithoutEngine          : False
SignatureFallbackOrder                                : MicrosoftUpdateServer|MMPC
SignatureFirstAuGracePeriod                           : 120
SignatureScheduleDay                                  : 8
SignatureScheduleTime                                 : 01:45:00
SignatureUpdateCatchupInterval                        : 1
SignatureUpdateInterval                               : 0
SubmitSamplesConsent                                  : 1
ThreatIDDefaultAction_Actions                         :
ThreatIDDefaultAction_Ids                             :
ThrottleForScheduledScanOnly                          : True
TrustLabelProtectionStatus                            : 0
UILockdown                                            : False
UnknownThreatDefaultAction                            : 0
PSComputerName                                        :



PS C:\Windows\system32> Get-MpThreatdetection


ActionSuccess                  : True
AdditionalActionsBitMask       : 0
AMProductVersion               : 4.18.23050.9
CleaningActionID               : 3
CurrentThreatExecutionStatusID : 0
DetectionID                    : {F6F1E504-9075-4F6F-AFC4-172DD561E80A}
DetectionSourceTypeID          : 1
DomainUser                     : -------------------
InitialDetectionTime           : 02.08.2023 11:13:30
LastThreatStatusChangeTime     : 02.08.2023 11:16:10
ProcessName                    : Unknown
RemediationTime                : 02.08.2023 11:16:10
Resources                      : {file:_G:\Users\btl\Downloads\keyfinder_2.0.10.10.zip}
ThreatID                       : 232714
ThreatStatusErrorCode          : 0
ThreatStatusID                 : 4
PSComputerName                 :

ActionSuccess                  : True
AdditionalActionsBitMask       : 0
AMProductVersion               : 4.18.23050.9
CleaningActionID               : 3
CurrentThreatExecutionStatusID : 0
DetectionID                    : {CE372813-4C41-4FC9-9C5A-53558883227C}
DetectionSourceTypeID          : 1
DomainUser                     : ------------------
InitialDetectionTime           : 02.08.2023 08:39:22
LastThreatStatusChangeTime     : 02.08.2023 11:21:58
ProcessName                    : Unknown
RemediationTime                : 02.08.2023 11:21:58
Resources                      : {containerfile:_C:\Users\BTL\Downloads\monero-gui-win-x64-v0.18.1.2.zip,
                                 containerfile:_F:\Programs\monero-gui-win-x64-v0.18.1.2.zip, file:_C:\Users\BTL\Downlo
                                 ads\monero-gui-win-x64-v0.18.1.2.zip->monero-gui-v0.18.1.2/extras/monero-blockchain-im
                                 port.exe, file:_C:\Users\BTL\Downloads\monero-gui-win-x64-v0.18.1.2.zip->monero-gui-v0
                                 .18.1.2/extras/monero-wallet-rpc.exe...}
ThreatID                       : 238862
ThreatStatusErrorCode          : 0
ThreatStatusID                 : 4
PSComputerName                 :



PS C:\Windows\system32>
         
Dann habe ich Malwarebytes durchlaufen lassen, der hat RiskWare.HeuristicsReservedWordExploit in einem Programm gefunden, was ich vom Programmierer vom SecurityTaskManager runtergeladen habe um besser die Dienste hinter den svchost Ausfuehrungen sehen zu koennen.
Code:
ATTFilter
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 02.08.23
Scan-Zeit: 11:40
Protokolldatei: a9260b8c-3118-11ee-b008-d8bbc15354b2.json

-Softwaredaten-
Version: 4.5.34.275
Komponentenversion: 1.0.2089
Version des Aktualisierungspakets: 1.0.73351
Lizenz: Kostenlos

-Systemdaten-
Betriebssystem: Windows 10 (Build 19045.3271)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-IAT217H\BTL

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 252499
Erkannte Bedrohungen: 1
In die Quarantäne verschobene Bedrohungen: 1
Abgelaufene Zeit: 1 Min., 35 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 1
RiskWare.HeuristicsReservedWordExploit, C:\USERS\BTL\DOWNLOADS\SVCHOSTANALYZER.EXE, In Quarantäne, 4677, 293553, 1.0.73351, , ame, , C0B826AFA4765BB24CA3327C3358B093, 12D2146672A281319DEA9F2AD3D31C16FC5EB25479CCA271A986442214B7D7EB

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         
AdwCleaner hat nichts gefunden, dann habe ich FRST ausgefuehrt. Musste hier leider was packen, hatte ueber 70000 Zeichen ueber dem Limit.
Code:
ATTFilter
Siehe Anhang FRST 1
         
Danach habe ich den ESET Online Scanner benutzt, aber nur auf C: und Arbeitsspeicher etc, nicht auf die anderen Platten, der hat Varianten von Win64/CoinMiner 3 mal gefunden:
Code:
ATTFilter
02.08.2023 15:52:54
Geprüfte Dateien: 545882
Erkannte Dateien: 3
Gesäuberte Dateien: 3
Prüfdauer gesamt 00:43:55
Prüfstatus: Abgeschlossen
C:\Users\BTL\Downloads\monero-gui-win-x64-v0.18.1.0.zip	eine Variante von Win64/CoinMiner.GG potenziell unerwünschte Anwendung,eine Variante von Win64/CoinMiner.MR potenziell unerwünschte Anwendung,eine Variante von Win64/CoinMiner.MW potenziell unerwünschte Anwendung,eine Variante von Win64/CoinMiner.NN potenziell unerwünschte Anwendung	Enthielt infizierte Datei(en)

C:\Users\BTL\Downloads\monero-gui-win-x64-v0.18.1.1.zip	eine Variante von Win64/CoinMiner.GG potenziell unerwünschte Anwendung,eine Variante von Win64/CoinMiner.MR potenziell unerwünschte Anwendung,eine Variante von Win64/CoinMiner.MW potenziell unerwünschte Anwendung,eine Variante von Win64/CoinMiner.NN potenziell unerwünschte Anwendung	Enthielt infizierte Datei(en)

C:\Users\BTL\Downloads\monero-gui-win-x64-v0.18.1.2.zip	eine Variante von Win64/CoinMiner.GG potenziell unerwünschte Anwendung,eine Variante von Win64/CoinMiner.MR potenziell unerwünschte Anwendung,eine Variante von Win64/CoinMiner.MW potenziell unerwünschte Anwendung,eine Variante von Win64/CoinMiner.NN potenziell unerwünschte Anwendung	Enthielt infizierte Datei(en)
         
Danach habe ich nochmal FRST ausgefuehrt, diesmal mit BCD und MBR, bin mir nur nicht sicher, ob er beim BCD die richtige Platte genommen hatte, hatte bei meinen alten Platten das Windows un MBR nie geloescht
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 01-08-2023
durchgeführt von BTL (Administrator) auf DESKTOP-IAT217H (Micro-Star International Co., Ltd. MS-7C37) (02-08-2023 16:09:28)
Gestartet von C:\Users\BTL\Downloads\FRST64.exe
Geladene Profile: BTL
Plattform: Microsoft Windows 10 Pro Version 22H2 19045.3271 (X64) Sprache: Deutsch (Deutschland)
Standard-Browser: Edge
Start-Modus: Normal

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(A-Volute SAS -> A-Volute) C:\Users\BTL\AppData\Local\NhNotifSys\nahimic\nahimicNotifSys.exe
(C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe ->) (Malwarebytes Inc. -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
(explorer.exe ->) (Microsoft Corporation -> Microsoft Corporation) C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe <40>
(services.exe ->) (A-Volute SAS -> Nahimic) C:\Windows\System32\NahimicService.exe
(services.exe ->) (Malwarebytes Inc. -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
(services.exe ->) (Microsoft Windows Publisher -> Microsoft Corporation) C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\MsMpEng.exe
(services.exe ->) (Microsoft Windows Publisher -> Microsoft Corporation) C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\NisSrv.exe
(services.exe ->) (NVIDIA Corporation -> NVIDIA Corporation) C:\Windows\System32\DriverStore\FileRepository\nv_dispig.inf_amd64_19f3764f95906f94\Display.NvContainer\NVDisplay.Container.exe <2>
(services.exe ->) (Realtek Semiconductor Corp. -> Realtek Semiconductor) C:\Windows\System32\DriverStore\FileRepository\realtekservice.inf_amd64_550508a90a3c9a47\RtkAudUService64.exe <2>
(svchost.exe ->) (21E1B422-257A-44A2-9C8F-379165856473 -> ) C:\Program Files\WindowsApps\A-Volute.Nahimic_1.9.20.0_x64__w2gh52qy24etm\Nahimic3.exe
(svchost.exe ->) (A-Volute SAS -> Nahimic) C:\Windows\System32\NahimicSvc64.exe
(svchost.exe ->) (A-Volute SAS -> Nahimic) C:\Windows\SysWOW64\NahimicSvc32.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\ImmersiveControlPanel\SystemSettings.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\dllhost.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\MoUsoCoreWorker.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\smartscreen.exe
(svchost.exe ->) (MICRO-STAR INTERNATIONAL CO., LTD. -> Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI Toast Server\MSIToastServer.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RtkAudUService] => C:\Windows\System32\DriverStore\FileRepository\realtekservice.inf_amd64_550508a90a3c9a47\RtkAudUService64.exe [1618320 2022-11-16] (Realtek Semiconductor Corp. -> Realtek Semiconductor)
HKLM\...\Run: [Riot Vanguard] => C:\Program Files\Riot Vanguard\vgtray.exe [3183328 2022-03-12] (Riot Games, Inc. -> Riot Games, Inc.)
HKLM\...\Run: [PDF24] => C:\Program Files\PDF24\pdf24.exe [587000 2022-02-14] (geek software GmbH -> geek software GmbH)
HKLM-x32\...\Run: [MSIRegister] => C:\Program Files (x86)\MSI\MSIRegister\MSIRegister.exe [1266864 2019-08-28] (MICRO-STAR INTERNATIONAL CO., LTD. -> Micro-Star INT'L CO., LTD.)
HKLM\...\Print\Monitors\HP AC11 Status Monitor: C:\Windows\system32\hpinkstsAC11LM.dll [331664 2012-06-13] (Hewlett Packard -> Hewlett-Packard Co.)
Startup: C:\Users\BTL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tintenwarnungen überwachen - HP Deskjet 2510 series.lnk [2022-11-12]
ShortcutAndArgument: Tintenwarnungen überwachen - HP Deskjet 2510 series.lnk -> C:\Windows\system32\RunDll32.exe => "C:\Program Files\HP\HP Deskjet 2510 series\bin\HPStatusBL.dll",RunDLLEntry SERIALNUMBER=CN28L2NH8C05QX;CONNECTION=USB;MONITOR=1;
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {DF24644F-389A-40AE-A032-07B17DB710FC} - System32\Tasks\Microsoft\Windows\Application Experience\MareBackup => Command(1): %windir%\system32\compattelrunner.exe -> -m:aeinv.dll -f:UpdateSoftwareInventoryW invsvc
Task: {DF24644F-389A-40AE-A032-07B17DB710FC} - System32\Tasks\Microsoft\Windows\Application Experience\MareBackup => Command(2): %windir%\system32\compattelrunner.exe -> -m:appraiser.dll -f:DoScheduledTelemetryRun
Task: {DF24644F-389A-40AE-A032-07B17DB710FC} - System32\Tasks\Microsoft\Windows\Application Experience\MareBackup => Command(3): %windir%\system32\compattelrunner.exe -> -m:aemarebackup.dll -f:BackupMareData
Task: {AEE82D2C-B9F5-4B6E-8935-9DE6C298CF32} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\MpCmdRun.exe [1649976 2023-07-25] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {3FD5A194-DDCC-4DA2-BDAC-EB7F622C8409} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cleanup => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\MpCmdRun.exe [1649976 2023-07-25] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {223238EF-17F7-4B35-8CF8-755007F91218} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\MpCmdRun.exe [1649976 2023-07-25] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {FC6D6116-C168-411E-B9C7-8260D6636D2B} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Verification => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\MpCmdRun.exe [1649976 2023-07-25] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {ADD43186-F94A-43F2-B3BD-8B71F388BF18} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [718752 2023-04-05] (Mozilla Corporation -> Mozilla Foundation)
Task: {E896DC59-9A96-4F82-B1A1-72C7E6CFFB62} - System32\Tasks\MSI_Toast_Server => C:\Program Files (x86)\MSI\MSI Toast Server\MSIToastServer.exe [31904 2019-03-05] (MICRO-STAR INTERNATIONAL CO., LTD. -> Micro-Star INT'L CO., LTD.)
Task: {D499221A-96AA-4AB5-9397-0B59ABE722CD} - System32\Tasks\NahimicSvc32Run => C:\Windows\SysWOW64\NahimicSvc32.exe [833704 2021-10-08] (A-Volute SAS -> Nahimic)
Task: {15C6AD74-46C8-4F33-AFFB-4A632C92ED34} - System32\Tasks\NahimicSvc64Run => C:\Windows\system32\NahimicSvc64.exe [1094824 2021-10-08] (A-Volute SAS -> Nahimic)
Task: {94972A3D-B1BD-4191-956B-4485792638F2} - System32\Tasks\NahimicTask32 => C:\Windows\system32\..\SysWOW64\NahimicSvc32.exe [833704 ] (A-Volute SAS -> Nahimic)
Task: {D1D45C02-23F5-412C-870D-66CCBE8AABD4} - System32\Tasks\NahimicTask64 => C:\Windows\system32\.\NahimicSvc64.exe [1094824 ] (A-Volute SAS -> Nahimic)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{11a555a7-b495-478d-bec7-16173cf2fcb2}: [NameServer] 8.8.8.8
Tcpip\..\Interfaces\{11a555a7-b495-478d-bec7-16173cf2fcb2}: [DhcpNameServer] 192.168.178.1

Edge: 
=======
Edge DefaultProfile: Default
Edge Profile: C:\Users\BTL\AppData\Local\Microsoft\Edge\User Data\Default [2023-08-02]
Edge Extension: (NoScript) - C:\Users\BTL\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\debdhlbmgmkkfjpcglcbjadbhhekgfjh [2022-06-14]
Edge Extension: (Tampermonkey) - C:\Users\BTL\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\iikmkjmpaadaobahmlepeloendndfphd [2023-07-23]
Edge Extension: (Edge relevant text changes) - C:\Users\BTL\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jmjflgjpcpepeafmmgdpfkogkghcpiha [2023-07-30]
Edge Extension: (Repeek (formerly FACEIT Enhancer)) - C:\Users\BTL\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\mokknliiomknodkdmpcellamkopbdmao [2023-07-30]
Edge Extension: (uBlock Origin) - C:\Users\BTL\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\odfafepnkmbhccpbejgmiehpchacaeak [2023-07-24]

FireFox:
========
FF DefaultProfile: pf7b5pw7.default
FF ProfilePath: C:\Users\BTL\AppData\Roaming\Mozilla\Firefox\Profiles\pf7b5pw7.default [2022-10-22]
FF ProfilePath: C:\Users\BTL\AppData\Roaming\Mozilla\Firefox\Profiles\xqd57sip.default-release [2023-07-31]
FF Extension: (Language: Deutsch (German)) - C:\Users\BTL\AppData\Roaming\Mozilla\Firefox\Profiles\xqd57sip.default-release\Extensions\langpack-de@firefox.mozilla.org.xpi [2023-05-18]

Chrome: 
=======
CHR DefaultProfile: Default
CHR Profile: C:\Users\BTL\AppData\Local\Google\Chrome\User Data\Default [2023-07-09]
CHR Extension: (Google Docs Offline) - C:\Users\BTL\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2023-06-04]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\BTL\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2023-04-04]
CHR Profile: C:\Users\BTL\AppData\Local\Google\Chrome\User Data\Profile 1 [2023-05-17]
CHR Extension: (Google Docs Offline) - C:\Users\BTL\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2023-05-17]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\BTL\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2023-05-17]
CHR Profile: C:\Users\BTL\AppData\Local\Google\Chrome\User Data\System Profile [2023-06-04]
CHR HKLM\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
CHR HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
CHR HKLM-x32\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]

==================== Dienste (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S4 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [803952 2020-05-01] (EasyAntiCheat Oy -> EasyAntiCheat Ltd)
S4 EasyAntiCheat_EOS; C:\Program Files (x86)\EasyAntiCheat_EOS\EasyAntiCheat_EOS.exe [584680 2022-07-20] (EasyAntiCheat Oy -> Epic Games, Inc.)
S4 EQU8_36; C:\ProgramData\EQU8\Splitgate\bin\anticheat.x64.equ8.exe [8344720 2022-02-23] (Int3 Software AB -> Int3 Software AB)
S3 FACEITService; C:\Program Files\FACEIT AC\faceitservice.exe [62017928 2023-07-14] (FACE IT LIMITED -> )
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe [9278784 2023-08-02] (Malwarebytes Inc. -> Malwarebytes)
S4 MSIREGISTER_MR; C:\Program Files (x86)\MSI\MSIRegister\MSIRegisterService.exe [2019504 2019-08-28] (MICRO-STAR INTERNATIONAL CO., LTD. -> Micro-Star INT'L CO., LTD.)
R2 NahimicService; C:\Windows\system32\NahimicService.exe [1888424 2021-10-08] (A-Volute SAS -> Nahimic)
S4 PDF24; C:\Program Files\PDF24\pdf24.exe [587000 2022-02-14] (geek software GmbH -> geek software GmbH)
S4 Rockstar Service; G:\Spiele\Rockstar\RockstarService.exe [2017072 2021-12-16] (Rockstar Games, Inc. -> Rockstar Games) [Datei ist nicht signiert]
S3 Sense; C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe [402216 2023-07-31] (Microsoft Windows Publisher -> Microsoft Corporation)
S4 vgc; C:\Program Files\Riot Vanguard\vgc.exe [10401912 2022-03-12] (Riot Games, Inc. -> Riot Games, Inc.)
R3 WdNisSvc; C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\NisSrv.exe [3244928 2023-07-25] (Microsoft Windows Publisher -> Microsoft Corporation)
R2 WinDefend; C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\MsMpEng.exe [133576 2023-07-25] (Microsoft Windows Publisher -> Microsoft Corporation)
R2 NVDisplay.ContainerLocalSystem; C:\Windows\System32\DriverStore\FileRepository\nv_dispig.inf_amd64_19f3764f95906f94\Display.NvContainer\NVDisplay.Container.exe -s NVDisplay.ContainerLocalSystem -f %ProgramData%\NVIDIA\NVDisplay.ContainerLocalSystem.log -l 3 -d C:\Windows\System32\DriverStore\FileRepository\nv_dispig.inf_amd64_19f3764f95906f94\Display.NvContainer\plugins\LocalSystem -r -p 30000 -cfg NVDisplay.ContainerLocalSystem\LocalSystem

===================== Treiber (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R1 FACEIT; C:\Program Files\FACEIT AC\FACEIT_AC.sys [74634264 2023-07-14] (Microsoft Windows Hardware Compatibility Publisher -> )
S3 logi_joy_vir_hid; C:\Windows\system32\drivers\logi_joy_vir_hid.sys [32080 2023-06-10] (Logitech Inc -> Logitech)
R2 MBAMChameleon; C:\Windows\System32\Drivers\MbamChameleon.sys [223176 2023-08-02] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
S0 MbamElam; C:\Windows\System32\DRIVERS\MbamElam.sys [21480 2023-08-02] (Microsoft Windows Early Launch Anti-Malware Publisher -> Malwarebytes)
R3 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [239544 2023-08-02] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
R3 MpKsle0a8ca0e; C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{2B40459C-7872-4B5D-A937-5581A043D658}\MpKslDrv.sys [221480 2023-08-02] (Microsoft Windows -> Microsoft Corporation)
S3 Nahimic_Mirroring; C:\Windows\System32\drivers\Nahimic_Mirroring.sys [86224 2022-08-19] (A-Volute SAS -> Windows (R) Win 7 DDK provider)
S3 npf; C:\Windows\system32\drivers\npf.sys [35344 2023-07-28] (CACE Technologies, Inc. -> CACE Technologies, Inc.)
R1 vgk; C:\Program Files\Riot Vanguard\vgk.sys [8508504 2022-03-11] (Riot Games, Inc. -> Riot Games, Inc.)
S0 WdBoot; C:\Windows\System32\drivers\wd\WdBoot.sys [49600 2023-07-25] (Microsoft Windows Early Launch Anti-Malware Publisher -> Microsoft Corporation)
R0 WdFilter; C:\Windows\System32\drivers\wd\WdFilter.sys [498944 2023-07-25] (Microsoft Windows -> Microsoft Corporation)
R3 WdNisDrv; C:\Windows\System32\drivers\wd\WdNisDrv.sys [99608 2023-07-25] (Microsoft Windows -> Microsoft Corporation)
S1 npcap; \SystemRoot\system32\DRIVERS\npcap.sys [X]
U4 npcap_wifi; kein ImagePath
S3 NTIOLib_DVDSetup; \??\J:\NTIOLib_X64.sys [X]
S3 rsDwf; \SystemRoot\system32\DRIVERS\rsDwf.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat (erstellte) (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2023-08-02 16:09 - 2023-08-02 16:09 - 000015609 _____ C:\Users\BTL\Downloads\FRST.txt
2023-08-02 15:54 - 2023-08-02 15:54 - 000000000 ____D C:\Windows\system32\Tasks\Aufgaben der Ereignisanzeige
2023-08-02 15:52 - 2023-08-02 15:52 - 000002530 _____ C:\Users\BTL\Desktop\ESET scan log.txt
2023-08-02 14:56 - 2023-08-02 14:56 - 015274968 _____ (ESET) C:\Users\BTL\Desktop\esetonlinescanner.exe
2023-08-02 14:56 - 2023-08-02 14:56 - 000001380 _____ C:\Users\BTL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET Online Scanner.lnk
2023-08-02 14:56 - 2023-08-02 14:56 - 000001274 _____ C:\Users\BTL\Desktop\ESET Online Scanner.lnk
2023-08-02 14:56 - 2023-08-02 14:56 - 000000000 ____D C:\Users\BTL\AppData\Local\ESET
2023-08-02 14:00 - 2023-08-02 14:01 - 000059145 _____ C:\Users\BTL\Desktop\Addition.txt
2023-08-02 14:00 - 2023-08-02 14:01 - 000026592 _____ C:\Users\BTL\Desktop\FRST.txt
2023-08-02 13:55 - 2023-08-02 13:55 - 002700800 _____ (Farbar) C:\Users\BTL\Desktop\FRST64.exe
2023-08-02 12:23 - 2023-08-02 12:23 - 005637548 _____ C:\Users\Public\Desktop\mbst-grab-results.zip
2023-08-02 12:20 - 2023-08-02 12:20 - 014113080 _____ C:\Users\BTL\Downloads\mb-support-1.9.1.977.exe
2023-08-02 12:20 - 2023-08-02 12:20 - 002700800 _____ (Farbar) C:\Users\BTL\Downloads\FRST64.exe
2023-08-02 11:54 - 2023-08-02 11:54 - 000001476 _____ C:\Users\BTL\Desktop\google not google.txt
2023-08-02 11:49 - 2023-08-02 11:49 - 000001616 _____ C:\Users\BTL\Desktop\MBAM.txt
2023-08-02 11:47 - 2023-08-02 12:13 - 000000000 ____D C:\AdwCleaner
2023-08-02 11:38 - 2023-08-02 12:15 - 000000000 ____D C:\Users\BTL\AppData\Local\Malwarebytes
2023-08-02 11:38 - 2023-08-02 11:38 - 000002033 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
2023-08-02 11:38 - 2023-08-02 11:38 - 000002021 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
2023-08-02 11:36 - 2023-08-02 11:36 - 008791352 _____ (Malwarebytes) C:\Users\BTL\Downloads\adwcleaner.exe
2023-08-02 11:36 - 2023-08-02 11:36 - 000000000 ____D C:\ProgramData\Malwarebytes
2023-08-02 11:36 - 2023-08-02 11:36 - 000000000 ____D C:\Program Files\Malwarebytes
2023-08-02 11:35 - 2023-08-02 11:35 - 002606880 _____ (Malwarebytes) C:\Users\BTL\Downloads\MBSetup (2).exe
2023-08-02 08:05 - 2023-08-02 12:45 - 000011629 _____ C:\Users\BTL\Desktop\mpcomputerstatus.txt
2023-08-02 07:35 - 2023-08-02 07:35 - 001024589 _____ C:\Users\Public\Desktop\mbst-grab-results1.zip
2023-08-02 07:33 - 2023-08-02 16:09 - 000000000 ____D C:\FRST
2023-08-02 01:19 - 2023-08-02 01:19 - 000000000 ____D C:\Users\BTL\AppData\Roaming\Microsoft\InputMethod
2023-08-02 00:29 - 2023-08-02 00:29 - 000001644 __RSH C:\ProgramData\ntuser.pol
2023-08-01 19:43 - 2023-08-01 19:43 - 011235476 _____ C:\Users\BTL\Downloads\Dashboard_Windows_Severity_Events_-_Failure_2023-08-01_19_42_54.csv
2023-08-01 16:43 - 2023-07-28 08:37 - 000369168 _____ (CACE Technologies, Inc.) C:\Windows\system32\wpcap.dll
2023-08-01 16:43 - 2023-07-28 08:37 - 000106000 _____ (CACE Technologies, Inc.) C:\Windows\system32\Packet.dll
2023-08-01 16:43 - 2023-07-28 08:37 - 000061440 _____ (CACE Technologies) C:\Windows\system32\WanPacket.dll
2023-08-01 16:43 - 2023-07-28 08:37 - 000035344 _____ (CACE Technologies, Inc.) C:\Windows\system32\Drivers\npf.sys
2023-08-01 05:11 - 2023-08-01 05:11 - 000000000 ____D C:\Users\BTL\Desktop\SolarWinds Security Event Manager
2023-08-01 03:50 - 2023-08-01 03:51 - 000000000 ____D C:\Users\BTL\wire
2023-08-01 03:02 - 2023-08-02 07:07 - 000000000 ____D C:\Users\BTL\AppData\Roaming\Wireshark
2023-08-01 03:01 - 2023-08-01 03:01 - 000001827 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wireshark.lnk
2023-08-01 02:58 - 2023-08-01 02:59 - 078981544 _____ (Wireshark development team) C:\Users\BTL\Downloads\Wireshark-win64-4.0.7.exe
2023-07-31 20:22 - 2023-07-31 20:22 - 000751091 _____ C:\Users\BTL\Downloads\Windows10andWindowsServer2019PolicySettings--22H2.xlsx
2023-07-31 19:07 - 2023-07-31 19:07 - 000000000 ___HD C:\Windows\system32\GroupPolicy
2023-07-31 18:38 - 2023-07-31 18:38 - 000000000 ___HD C:\$WinREAgent
2023-07-31 01:05 - 2023-07-31 21:08 - 000007603 _____ C:\Users\BTL\AppData\Local\resmon.resmoncfg
2023-07-30 18:29 - 2023-07-31 10:54 - 000000000 ____D C:\ProgramData\SecTaskMan
2023-07-30 14:53 - 2023-07-30 14:54 - 014567976 _____ C:\Users\BTL\Downloads\bitdefender_avfree.exe
2023-07-29 00:59 - 2023-07-29 03:22 - 000000269 _____ C:\Users\BTL\Desktop\dev place infra verkaufen.txt
2023-07-17 20:54 - 2023-07-17 20:54 - 000002483 _____ C:\Users\BTL\Documents\boh.txt
2023-07-17 20:25 - 2023-07-17 20:25 - 000000000 ____D C:\Users\BTL\AppData\Local\Nahimic
2023-07-17 12:32 - 2023-07-17 12:35 - 000000508 _____ C:\Users\BTL\Desktop\Froschi Rechner.txt
2023-07-16 19:27 - 2023-07-16 19:27 - 000000000 ____D C:\Windows\system32\Tasks\Mozilla
2023-07-15 04:44 - 2023-07-15 04:44 - 000000000 ____D C:\Users\BTL\Documents\Steam
2023-07-14 20:24 - 2023-08-02 12:15 - 000003112 _____ C:\Windows\system32\Tasks\NahimicTask32
2023-07-14 20:24 - 2023-08-02 12:15 - 000003092 _____ C:\Windows\system32\Tasks\NahimicTask64
2023-07-14 20:24 - 2023-07-14 20:24 - 000003152 _____ C:\Windows\system32\Tasks\NahimicSvc64Run
2023-07-14 20:24 - 2023-07-14 20:24 - 000003152 _____ C:\Windows\system32\Tasks\NahimicSvc32Run
2023-07-14 20:24 - 2023-07-14 20:24 - 000000000 ____D C:\ProgramData\Nahimic
2023-07-08 21:24 - 2023-07-08 21:24 - 000000000 ____D C:\Users\BTL\Documents\GEZ

==================== Ein Monat (geänderte) ==================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2023-08-02 15:06 - 2019-12-07 11:14 - 000000000 ___HD C:\Program Files\WindowsApps
2023-08-02 15:06 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\AppReadiness
2023-08-02 15:04 - 2019-12-07 11:14 - 000000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2023-08-02 13:12 - 2021-12-14 16:55 - 000000000 ____D C:\Users\BTL\AppData\Local\PlaceholderTileLogoFolder
2023-08-02 12:19 - 2021-12-14 16:24 - 001723308 _____ C:\Windows\system32\PerfStringBackup.INI
2023-08-02 12:19 - 2019-12-07 16:51 - 000743838 _____ C:\Windows\system32\perfh007.dat
2023-08-02 12:19 - 2019-12-07 16:51 - 000150260 _____ C:\Windows\system32\perfc007.dat
2023-08-02 12:19 - 2019-12-07 11:13 - 000000000 ____D C:\Windows\INF
2023-08-02 12:17 - 2022-01-26 14:55 - 000000001 _____ C:\Windows\vgkbootstatus.dat
2023-08-02 12:14 - 2021-12-14 17:26 - 000000000 ____D C:\ProgramData\NVIDIA
2023-08-02 12:14 - 2021-12-14 16:19 - 000008192 ___SH C:\DumpStack.log.tmp
2023-08-02 12:14 - 2021-12-14 16:19 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2023-08-02 12:14 - 2019-12-07 11:03 - 000524288 _____ C:\Windows\system32\config\BBI
2023-08-02 11:49 - 2021-12-16 20:52 - 000000000 ____D C:\Users\BTL\AppData\Roaming\discord
2023-08-02 11:38 - 2019-12-07 11:14 - 000000000 ___HD C:\Windows\ELAMBKUP
2023-08-02 11:01 - 2021-12-16 20:51 - 000000000 ____D C:\Users\BTL\AppData\Local\Discord
2023-08-01 21:18 - 2021-12-14 16:36 - 000000000 ___HD C:\Program Files (x86)\InstallShield Installation Information
2023-08-01 19:03 - 2021-12-14 16:19 - 000000000 ____D C:\Windows\system32\SleepStudy
2023-08-01 18:08 - 2021-12-14 20:22 - 000000000 ____D C:\Users\BTL\AppData\Local\D3DSCache
2023-08-01 13:32 - 2019-12-07 11:03 - 000000000 ____D C:\Windows\CbsTemp
2023-08-01 03:50 - 2021-12-14 16:22 - 000000000 ____D C:\Users\BTL
2023-08-01 03:00 - 2021-12-14 16:35 - 000000000 ____D C:\ProgramData\Package Cache
2023-07-31 21:14 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\Registration
2023-07-31 19:54 - 2023-03-30 14:30 - 000000000 ____D C:\Windows\Minidump
2023-07-31 19:38 - 2021-12-14 16:26 - 000000000 ____D C:\Users\BTL\AppData\Local\Packages
2023-07-31 19:34 - 2022-03-09 18:27 - 000000000 ____D C:\Program Files\Common Files\Adobe
2023-07-31 19:34 - 2022-01-28 12:13 - 000000000 ____D C:\Users\BTL\AppData\Roaming\Chime
2023-07-31 18:45 - 2019-12-07 16:54 - 000000000 ____D C:\Program Files\Windows Defender Advanced Threat Protection
2023-07-31 18:45 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\SysWOW64\WinMetadata
2023-07-31 18:45 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\SystemResources
2023-07-31 18:45 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\WinMetadata
2023-07-31 18:45 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\migwiz
2023-07-31 18:45 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\appraiser
2023-07-31 18:45 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\bcastdvr
2023-07-31 18:45 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\appcompat
2023-07-31 18:14 - 2021-12-30 20:32 - 000000000 ____D C:\Windows\SystemTemp
2023-07-31 18:14 - 2021-12-14 16:19 - 000002436 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk
2023-07-31 18:14 - 2021-12-14 16:19 - 000002274 _____ C:\Users\Public\Desktop\Microsoft Edge.lnk
2023-07-31 18:13 - 2019-12-07 11:14 - 000000000 ___RD C:\Windows\ImmersiveControlPanel
2023-07-31 18:13 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\SysWOW64\setup
2023-07-31 18:13 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\setup
2023-07-31 18:13 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\SecureBootUpdates
2023-07-31 18:13 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\oobe
2023-07-31 11:25 - 2022-09-15 22:52 - 000000000 ____D C:\Program Files (x86)\Gpg4win
2023-07-31 11:25 - 2022-09-15 22:52 - 000000000 ____D C:\Program Files (x86)\GnuPG
2023-07-31 01:28 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\NDF
2023-07-31 01:07 - 2019-12-07 11:14 - 000000000 ____D C:\PerfLogs
2023-07-31 00:41 - 2023-03-30 15:36 - 000000000 ____D C:\Users\BTL\AppData\Local\CrashDumps
2023-07-30 19:08 - 2021-12-14 18:50 - 000000000 ____D C:\Users\BTL\AppData\Roaming\Microsoft\MMC
2023-07-30 14:42 - 2021-12-14 16:40 - 000000000 ____D C:\ProgramData\A-Volute
2023-07-27 21:01 - 2021-12-15 11:50 - 000918960 ____N (Microsoft Corporation) C:\Windows\system32\MpSigStub.exe
2023-07-25 03:47 - 2021-12-14 16:19 - 000000000 ____D C:\Windows\system32\Drivers\wd
2023-07-21 10:15 - 2022-09-15 17:41 - 000000000 ____D C:\Users\BTL\AppData\LocalLow\Mozilla
2023-07-17 02:10 - 2022-02-11 19:09 - 000000000 ____D C:\Program Files\FACEIT AC
2023-07-16 19:30 - 2022-10-22 18:26 - 000000000 ____D C:\Users\BTL\AppData\Local\i2p
2023-07-16 19:30 - 2022-10-22 18:26 - 000000000 ____D C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38
2023-07-14 20:21 - 2021-12-14 16:26 - 000000000 ____D C:\Users\BTL\AppData\Local\Publishers
2023-07-14 18:50 - 2023-04-19 07:49 - 000000452 _____ C:\Users\BTL\Desktop\xhair.txt
2023-07-13 01:15 - 2021-12-16 19:54 - 000000000 ____D C:\Windows\system32\MRT
2023-07-13 01:14 - 2021-12-16 19:54 - 173351160 ____C (Microsoft Corporation) C:\Windows\system32\MRT.exe
2023-07-11 08:49 - 2021-12-14 16:19 - 000003756 _____ C:\Windows\system32\Tasks\MicrosoftEdgeUpdateTaskMachineUA
2023-07-11 08:49 - 2021-12-14 16:19 - 000003632 _____ C:\Windows\system32\Tasks\MicrosoftEdgeUpdateTaskMachineCore

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse ========

2023-07-31 01:05 - 2023-07-31 21:08 - 000007603 _____ () C:\Users\BTL\AppData\Local\resmon.resmoncfg

==================== SigCheck ============================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)


==================== BCD ================================

Start-Manager für Firmware
--------------------------
Bezeichner              {fwbootmgr}
displayorder            {bootmgr}
timeout                 2

Windows-Start-Manager
---------------------
Bezeichner              {bootmgr}
device                  partition=\Device\HarddiskVolume6
path                    \EFI\MICROSOFT\BOOT\BOOTMGFW.EFI
description             Windows Boot Manager
locale                  de-DE
inherit                 {globalsettings}
default                 {current}
resumeobject            {27a07e1d-5ce8-11ec-9afa-f18dee1a488b}
displayorder            {current}
toolsdisplayorder       {memdiag}
timeout                 30

Windows-Startladeprogramm
-------------------------
Bezeichner              {current}
device                  partition=C:
path                    \Windows\system32\winload.efi
description             Windows 10
locale                  de-DE
inherit                 {bootloadersettings}
recoverysequence        {27a07e1f-5ce8-11ec-9afa-f18dee1a488b}
displaymessageoverride  Recovery
recoveryenabled         Yes
isolatedcontext         Yes
allowedinmemorysettings 0x15000075
osdevice                partition=C:
systemroot              \Windows
resumeobject            {27a07e1d-5ce8-11ec-9afa-f18dee1a488b}
nx                      OptIn
bootmenupolicy          Standard

Windows-Startladeprogramm
-------------------------
Bezeichner              {27a07e1f-5ce8-11ec-9afa-f18dee1a488b}
device                  ramdisk=[\Device\HarddiskVolume9]\Recovery\WindowsRE\Winre.wim,{27a07e20-5ce8-11ec-9afa-f18dee1a488b}
path                    \windows\system32\winload.efi
description             Windows Recovery Environment
locale                  de-de
inherit                 {bootloadersettings}
displaymessage          Recovery
osdevice                ramdisk=[\Device\HarddiskVolume9]\Recovery\WindowsRE\Winre.wim,{27a07e20-5ce8-11ec-9afa-f18dee1a488b}
systemroot              \windows
nx                      OptIn
bootmenupolicy          Standard
winpe                   Yes

Wiederaufnahme aus dem Ruhezustand
----------------------------------
Bezeichner              {27a07e1d-5ce8-11ec-9afa-f18dee1a488b}
device                  partition=C:
path                    \Windows\system32\winresume.efi
description             Windows Resume Application
locale                  de-DE
inherit                 {resumeloadersettings}
recoverysequence        {27a07e1f-5ce8-11ec-9afa-f18dee1a488b}
recoveryenabled         Yes
isolatedcontext         Yes
allowedinmemorysettings 0x15000075
filedevice              partition=C:
filepath                \hiberfil.sys
bootmenupolicy          Standard
debugoptionenabled      No

Windows-Speichertestprogramm
----------------------------
Bezeichner              {memdiag}
device                  partition=\Device\HarddiskVolume6
path                    \EFI\Microsoft\Boot\memtest.efi
description             Windows-Speicherdiagnose
locale                  de-DE
inherit                 {globalsettings}
badmemoryaccess         Yes

EMS-Einstellungen
-----------------
Bezeichner              {emssettings}
bootems                 No

Debuggereinstellungen
---------------------
Bezeichner              {dbgsettings}
debugtype               Local

RAM-Defekte
-----------
Bezeichner              {badmemory}

Globale Einstellungen
---------------------
Bezeichner              {globalsettings}
inherit                 {dbgsettings}
                        {emssettings}
                        {badmemory}

Startladeprogramm-Einstellungen
-------------------------------
Bezeichner              {bootloadersettings}
inherit                 {globalsettings}
                        {hypervisorsettings}

Hypervisoreinstellungen
-----------------------
Bezeichner              {hypervisorsettings}
hypervisordebugtype     Serial
hypervisordebugport     1
hypervisorbaudrate      115200

Einstellungen zur Ladeprogrammfortsetzung
-----------------------------------------
Bezeichner              {resumeloadersettings}
inherit                 {globalsettings}

Geräteoptionen
--------------
Bezeichner              {27a07e20-5ce8-11ec-9afa-f18dee1a488b}
description             Windows Recovery
ramdisksdidevice        partition=\Device\HarddiskVolume9
ramdisksdipath          \Recovery\WindowsRE\boot.sdi

==================== Ende von FRST.txt ========================
         
Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 01-08-2023
durchgeführt von BTL (02-08-2023 16:09:58)
Gestartet von C:\Users\BTL\Downloads
Microsoft Windows 10 Pro Version 22H2 19045.3271 (X64) (2021-12-14 14:20:46)
Start-Modus: Normal
==========================================================


==================== Konten: =============================


(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

Administrator (S-1-5-21-1761826180-2724818943-2495402748-500 - Administrator - Disabled)
BTL (S-1-5-21-1761826180-2724818943-2495402748-1001 - Administrator - Enabled) => C:\Users\BTL
DefaultAccount (S-1-5-21-1761826180-2724818943-2495402748-503 - Limited - Disabled)
Gast (S-1-5-21-1761826180-2724818943-2495402748-501 - Limited - Disabled)
WDAGUtilityAccount (S-1-5-21-1761826180-2724818943-2495402748-504 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

AMD Chipset Software (HKLM-x32\...\AMD_Chipset_IODrivers) (Version: 2.11.26.106 - Advanced Micro Devices, Inc.)
AMD GPIO2 Driver (HKLM-x32\...\{E9DD399F-21A3-479E-A7DF-D6CF4B2ADBF3}) (Version: 2.2.0.130 - Advanced Micro Devices, Inc.) Hidden
AMD PCI Driver (HKLM-x32\...\{80EC3CEE-2940-42A1-A776-B5D810D39F1E}) (Version: 1.0.0.81 - Advanced Micro Devices, Inc.) Hidden
AMD Ryzen Balanced Driver (HKLM-x32\...\{A171D320-C42C-4F3B-A2D8-C6A09F6788CC}) (Version: 6.0.0.9 - Advanced Micro Devices, Inc.) Hidden
AMD SBxxx SMBus Driver Alpha (HKLM-x32\...\{AAE0E27D-C88A-49BA-8715-77ADCD4286A3}) (Version: 5.12.0.38 - Advanced Micro Devices, Inc.) Hidden
AMD_Chipset_Drivers (HKLM-x32\...\{ac726f18-c961-4fa1-a46d-6f0c644cd12b}) (Version: 2.11.26.106 - Advanced Micro Devices, Inc.) Hidden
ArcheRage.to (HKLM-x32\...\{B05F81C0-5BFB-45F0-B8FA-AF1F999BCFFE}) (Version: 5.5.0 - ArcheRage.to Private Server)
Battle.net (HKLM-x32\...\Battle.net) (Version:  - Blizzard Entertainment)
Battlestate Games Launcher 12.11.1.1846 (HKLM-x32\...\{B0FDA062-7581-4D67-B085-C4E7C358037F}_is1) (Version: 12.11.1.1846 - Battlestate Games)
Discord (HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\Discord) (Version: 1.0.9003 - Discord Inc.)
FACEIT Anti-Cheat (HKLM\...\{1419E44C-0EF4-4822-9194-9F1A4D43973D}_is1) (Version: 2.0 - FACEIT LTD)
Grand Theft Auto V (HKLM-x32\...\{5EFC6C07-6B87-43FC-9524-F9E967241741}) (Version: 1.0.2545.0 - Rockstar Games)
HP Deskjet 2510 series - Grundlegende Software für das Gerät (HKLM\...\{F813E17D-D976-4810-BF9D-6A3BDE68DBA8}) (Version: 28.1.1320.0 - Hewlett-Packard Co.)
HP Deskjet 2510 series Setup Guide (HKLM-x32\...\{216C7F38-4BBC-4E9A-8392-C9FA21B54386}) (Version: 27.0.0 - Hewlett Packard)
League of Legends (HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\Riot Game league_of_legends.live) (Version:  - Riot Games, Inc)
LibreOffice 7.3.0.3 (HKLM\...\{8113FFA7-4CB7-4855-A319-1DB2A7FB9733}) (Version: 7.3.0.3 - The Document Foundation)
Malwarebytes version 4.5.34.275 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 4.5.34.275 - Malwarebytes)
Microsoft Edge (HKLM-x32\...\Microsoft Edge) (Version: 115.0.1901.188 - Microsoft Corporation)
Microsoft Edge WebView2-Laufzeit (HKLM-x32\...\Microsoft EdgeWebView) (Version: 115.0.1901.188 - Microsoft Corporation)
Microsoft Update Health Tools (HKLM\...\{BB052C53-34CB-42DE-AF41-66FDFCEEC868}) (Version: 3.72.0.0 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 (HKLM-x32\...\{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}) (Version: 11.0.61030.0 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030 (HKLM-x32\...\{33d1fd90-4274-48a1-9bc1-97e33d9c2d6f}) (Version: 11.0.61030.0 - Microsoft Corporation)
Microsoft Visual C++ 2012 x64 Additional Runtime - 11.0.61030 (HKLM\...\{37B8F9C7-03FB-3253-8781-2517C99D7C00}) (Version: 11.0.61030 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2012 x64 Minimum Runtime - 11.0.61030 (HKLM\...\{CF2BEA3C-26EA-32F8-AA9B-331F7E34BA97}) (Version: 11.0.61030 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2012 x86 Additional Runtime - 11.0.61030 (HKLM-x32\...\{B175520C-86A2-35A7-8619-86DC379688B9}) (Version: 11.0.61030 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2012 x86 Minimum Runtime - 11.0.61030 (HKLM-x32\...\{BD95A8CD-1D9F-35AD-981A-3E7925026EBB}) (Version: 11.0.61030 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 (HKLM-x32\...\{050d4fc8-5d48-4b8f-8972-47c82c46020f}) (Version: 12.0.30501.0 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501 (HKLM-x32\...\{f65db027-aff3-4070-886a-0d87064aabb1}) (Version: 12.0.30501.0 - Microsoft Corporation)
Microsoft Visual C++ 2013 x64 Additional Runtime - 12.0.21005 (HKLM\...\{929FBD26-9020-399B-9A7A-751D61F0B942}) (Version: 12.0.21005 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2013 x64 Minimum Runtime - 12.0.21005 (HKLM\...\{A749D8E6-B613-3BE3-8F5F-045C84EBA29B}) (Version: 12.0.21005 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2013 x86 Additional Runtime - 12.0.21005 (HKLM-x32\...\{F8CFEB22-A2E7-3971-9EDA-4B11EDEFC185}) (Version: 12.0.21005 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2013 x86 Minimum Runtime - 12.0.21005 (HKLM-x32\...\{13A4EE12-23EA-3371-91EE-EFB36DDFFF3E}) (Version: 12.0.21005 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2015-2019 Redistributable (x86) - 14.28.29334 (HKLM-x32\...\{b2d0f752-adc5-496e-8f70-8669de01f746}) (Version: 14.28.29334.0 - Microsoft Corporation)
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31332 (HKLM-x32\...\{3746f21b-c990-4045-bb33-1cf98cff7a68}) (Version: 14.32.31332.0 - Microsoft Corporation)
Microsoft Visual C++ 2019 X86 Additional Runtime - 14.28.29334 (HKLM-x32\...\{14C49FC8-3E9B-4F29-8526-26629B5CF30B}) (Version: 14.28.29334 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2019 X86 Minimum Runtime - 14.28.29334 (HKLM-x32\...\{0D01A812-82A1-481F-8546-8E28E976F8DF}) (Version: 14.28.29334 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2022 X64 Additional Runtime - 14.32.31332 (HKLM\...\{F4499EE3-A166-496C-81BB-51D1BCDC70A9}) (Version: 14.32.31332 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2022 X64 Minimum Runtime - 14.32.31332 (HKLM\...\{3407B900-37F5-4CC2-B612-5CD5D580A163}) (Version: 14.32.31332 - Microsoft Corporation) Hidden
Mozilla Firefox (x64 en-US) (HKLM\...\Mozilla Firefox 111.0.1 (x64 en-US)) (Version: 111.0.1 - Mozilla)
MSIRegister (HKLM-x32\...\{80B995A4-3A86-4690-98A6-563F1A788835}_is1) (Version: 2.0.0.22 - MSI)
NVIDIA Grafiktreiber 531.79 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 531.79 - NVIDIA Corporation)
NVIDIA PhysX-Systemsoftware 9.21.0713 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX) (Version: 9.21.0713 - NVIDIA Corporation)
PDF24 Creator 10.8.0 (HKLM\...\{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1) (Version: 10.8.0 - PDF24.org)
PokerStars.eu (HKLM-x32\...\PokerStars.eu) (Version:  - PokerStars.eu)
Realtek Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.9084.1 - Realtek Semiconductor Corp.)
Realtek Ethernet Controller Driver (HKLM-x32\...\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}) (Version: 10.45.928.2020 - Realtek)
Riot Vanguard (HKLM\...\Riot Vanguard) (Version:  - Riot Games, Inc.)
Rockstar Games Launcher (HKLM\...\Rockstar Games Launcher) (Version: 1.0.53.576 - Rockstar Games)
Rockstar Games Launcher (HKLM-x32\...\Rockstar Games Launcher) (Version: 1.0.53.576 - Rockstar Games)
Rockstar Games Social Club (HKLM-x32\...\Rockstar Games Social Club) (Version: 2.0.9.3 - Rockstar Games)
Steam (HKLM-x32\...\Steam) (Version: 2.10.91.91 - Valve Corporation)
Update for Windows 10 for x64-based Systems (KB5001716) (HKLM\...\{C270D21B-2327-49B8-85F7-395133A93C75}) (Version: 8.92.0.0 - Microsoft Corporation)
VALORANT (HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\Riot Game valorant.live) (Version:  - Riot Games, Inc)
Warcraft III (HKLM-x32\...\Warcraft III) (Version:  - Blizzard Entertainment)
Windows-PC-Integritätsprüfung (HKLM\...\{B3956CF3-F6C5-4567-AC38-1FD4432B319C}) (Version: 3.6.2204.08001 - Microsoft Corporation)
WOW 8.14.0.0 (HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\com.bskyb.wowtv_is1) (Version: 8.14.0.0 - WOW)
Zoom (HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\ZoomUMX) (Version: 5.9.3 (3169) - Zoom Video Communications, Inc.)

Packages:
=========
Nahimic -> C:\Program Files\WindowsApps\A-Volute.Nahimic_1.9.20.0_x64__w2gh52qy24etm [2023-07-27] (A-Volute)
NVIDIA Control Panel -> C:\Program Files\WindowsApps\NVIDIACorp.NVIDIAControlPanel_8.1.964.0_x64__56jybvy8sckqj [2023-03-10] (NVIDIA Corp.)
Realtek Audio Control -> C:\Program Files\WindowsApps\RealtekSemiconductorCorp.RealtekAudioControl_1.38.277.0_x64__dt26b99r8h8gj [2023-03-31] (Realtek Semiconductor Corp)
Solitaire & Casual Games -> C:\Program Files\WindowsApps\Microsoft.MicrosoftSolitaireCollection_4.16.3140.0_x64__8wekyb3d8bbwe [2023-03-19] (Microsoft Studios) [MS Ad]

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

CustomCLSID: HKU\S-1-5-21-1761826180-2724818943-2495402748-1001_Classes\CLSID\{13357088-9834-0409-1600-134951500000}\localserver32 -> "C:\Program Files\Adobe\Acrobat DC\Acrobat\ADNotificationManager.exe" -ToastActivated => Keine Datei
CustomCLSID: HKU\S-1-5-21-1761826180-2724818943-2495402748-1001_Classes\CLSID\{38142727-3008-9161-1521-349515000000}\localserver32 -> "C:\Program Files\Adobe\Acrobat DC\Acrobat\ADNotificationManager.exe" -ToastActivated => Keine Datei
CustomCLSID: HKU\S-1-5-21-1761826180-2724818943-2495402748-1001_Classes\CLSID\{80172dde-4e20-4df0-81a2-0a48553e80bb}\localserver32 -> C:\Users\BTL\AppData\Local\NhNotifSys\nahimic\nahimicNotifSys.exe (A-Volute SAS -> A-Volute)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2023-08-02] (Malwarebytes Inc. -> Malwarebytes)
ContextMenuHandlers5: [NvCplDesktopContext] -> {3D1975AF-48C6-4f8e-A182-BE0E08FA86A9} => C:\Windows\System32\DriverStore\FileRepository\nv_dispig.inf_amd64_19f3764f95906f94\nvshext.dll [2023-05-17] (NVIDIA Corporation -> NVIDIA Corporation)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2023-08-02] (Malwarebytes Inc. -> Malwarebytes)

==================== Codecs (Nicht auf der Ausnahmeliste) ====================

==================== Verknüpfungen & WMI ========================

==================== Geladene Module (Nicht auf der Ausnahmeliste) =============

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)

AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [10]

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ==================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) =================

==================== Internet Explorer (Nicht auf der Ausnahmeliste) ==========

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 

==================== Hosts Inhalt: =========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2019-12-07 11:14 - 2019-12-07 11:12 - 000000824 _____ C:\Windows\system32\drivers\etc\hosts

==================== Andere Bereiche ===========================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\Control Panel\Desktop\\Wallpaper -> G:\80\Bilder\schwarz1.jpg
DNS Servers: 8.8.8.8
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost => (EnableWebContentEvaluation: 1)
 ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

MSCONFIG\Services: AdobeARMservice => 2
MSCONFIG\Services: EasyAntiCheat => 3
MSCONFIG\Services: EasyAntiCheat_EOS => 3
MSCONFIG\Services: EQU8_36 => 3
MSCONFIG\Services: GoogleChromeElevationService => 3
MSCONFIG\Services: gupdate => 2
MSCONFIG\Services: gupdatem => 3
MSCONFIG\Services: MSIREGISTER_MR => 2
MSCONFIG\Services: PDF24 => 2
MSCONFIG\Services: Rockstar Service => 3
MSCONFIG\Services: vgc => 3
HKLM\...\StartupApproved\Run: => "Riot Vanguard"
HKLM\...\StartupApproved\Run: => "PDF24"
HKLM\...\StartupApproved\Run32: => "MSIRegister"
HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\StartupApproved\StartupFolder: => "Tintenwarnungen überwachen - HP Deskjet 2510 series.lnk"
HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\StartupApproved\Run: => "OneDrive"
HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\StartupApproved\Run: => "Discord"
HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\StartupApproved\Run: => "MicrosoftEdgeAutoLaunch_B595B0895D5CA7030B307379B3214B6C"
HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\StartupApproved\Run: => "LGHUB"

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{CAAA192D-0A55-4CE7-A780-855D5D188A3C}] => (Allow) I:\Spiele\steam\steam.exe (Valve Corp. -> Valve Corporation)
FirewallRules: [{76B8BAA0-2DFC-4707-B845-7775662FA3AE}] => (Allow) I:\Spiele\steam\steam.exe (Valve Corp. -> Valve Corporation)
FirewallRules: [{AFA4492B-C9BB-48D6-88DB-E89D34902337}] => (Allow) I:\Spiele\steam\bin\cef\cef.win7x64\steamwebhelper.exe (Valve Corp. -> Valve Corporation)
FirewallRules: [{1EFDF4E9-6230-4DD3-BDC6-FC9B84947A52}] => (Allow) I:\Spiele\steam\bin\cef\cef.win7x64\steamwebhelper.exe (Valve Corp. -> Valve Corporation)
FirewallRules: [{967565FE-652C-435A-B67B-E66E9CAE0F97}] => (Allow) I:\Spiele\steam\steamapps\common\Super Hexagon\superhexagon.exe () [Datei ist nicht signiert]
FirewallRules: [{42C52D3E-F6D4-43D8-997E-32FECBDFBDC6}] => (Allow) I:\Spiele\steam\steamapps\common\Super Hexagon\superhexagon.exe () [Datei ist nicht signiert]
FirewallRules: [{018B4A6E-3FA2-454B-B5E9-A2D0A5D429D3}] => (Allow) I:\Spiele\steam\steamapps\common\insurgency2\insurgency_BE.exe (BattlEye Innovations e.K. -> BattlEye Innovations)
FirewallRules: [{AC721BF5-0962-4376-BA9A-5E4BE068FFE7}] => (Allow) I:\Spiele\steam\steamapps\common\insurgency2\insurgency_BE.exe (BattlEye Innovations e.K. -> BattlEye Innovations)
FirewallRules: [{A73B6168-3682-4FC2-8C82-7688D2541977}] => (Allow) D:\SteamLibrary\steamapps\common\Hell Let Loose\Launch_HLL.exe (EasyAntiCheat Oy -> Epic Games, Inc)
FirewallRules: [{D0947215-8E2E-4BDB-8EBD-E6C9079B5164}] => (Allow) D:\SteamLibrary\steamapps\common\Hell Let Loose\Launch_HLL.exe (EasyAntiCheat Oy -> Epic Games, Inc)
FirewallRules: [TCP Query User{9A3DA634-0A35-4C5D-8A73-29156A2BF0FB}D:\steamlibrary\steamapps\common\hell let loose\hll\binaries\win64\hll-win64-shipping.exe] => (Block) D:\steamlibrary\steamapps\common\hell let loose\hll\binaries\win64\hll-win64-shipping.exe (BLACK MATTER PTY. LTD.) [Datei ist nicht signiert]
FirewallRules: [UDP Query User{52230CDD-9B24-4FCD-ABB6-5592FB949A65}D:\steamlibrary\steamapps\common\hell let loose\hll\binaries\win64\hll-win64-shipping.exe] => (Block) D:\steamlibrary\steamapps\common\hell let loose\hll\binaries\win64\hll-win64-shipping.exe (BLACK MATTER PTY. LTD.) [Datei ist nicht signiert]
FirewallRules: [{0FEA430B-7493-44E3-9670-3B51CAFBA9E4}] => (Allow) D:\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe (Valve Corp. -> )
FirewallRules: [{8C40E2C8-5632-450A-A94E-A72471917238}] => (Allow) D:\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe (Valve Corp. -> )
FirewallRules: [{448616F6-AFC6-4CC1-A8E0-7C34F7060391}] => (Allow) D:\SteamLibrary\steamapps\common\Memoria\memoria.exe (Daedalic Entertainment GmbH) [Datei ist nicht signiert]
FirewallRules: [{25D507E4-224B-4D17-A5CE-D4C90DC580F9}] => (Allow) D:\SteamLibrary\steamapps\common\Memoria\memoria.exe (Daedalic Entertainment GmbH) [Datei ist nicht signiert]
FirewallRules: [{99BEFF99-8414-480A-8948-80210F8849C0}] => (Allow) D:\SteamLibrary\steamapps\common\Memoria\VisionaireConfigurationTool.exe (Daedalic Entertainment) [Datei ist nicht signiert]
FirewallRules: [{BB225AAC-A97F-428D-B850-69C8B82779D5}] => (Allow) D:\SteamLibrary\steamapps\common\Memoria\VisionaireConfigurationTool.exe (Daedalic Entertainment) [Datei ist nicht signiert]
FirewallRules: [{4FA0B094-232F-4C21-9FE4-545A1FFF93D0}] => (Allow) D:\SteamLibrary\steamapps\common\The Whispered World Special Edition\twwse.exe (Daedalic Entertainment GmbH) [Datei ist nicht signiert]
FirewallRules: [{BE8368A0-40DB-4435-92F6-4CBB996668F9}] => (Allow) D:\SteamLibrary\steamapps\common\The Whispered World Special Edition\twwse.exe (Daedalic Entertainment GmbH) [Datei ist nicht signiert]
FirewallRules: [{AE6F76E9-045B-444F-84E5-219B60757436}] => (Allow) D:\SteamLibrary\steamapps\common\The Whispered World Special Edition\VisionaireConfigurationTool.exe (Daedalic Entertainment) [Datei ist nicht signiert]
FirewallRules: [{7BFD4024-7AAD-40AE-B66C-31C13621664D}] => (Allow) D:\SteamLibrary\steamapps\common\The Whispered World Special Edition\VisionaireConfigurationTool.exe (Daedalic Entertainment) [Datei ist nicht signiert]
FirewallRules: [{516218DF-FDE3-43C6-A3A3-775A722C55AC}] => (Allow) D:\SteamLibrary\steamapps\common\TheDarkEye Cos\satinav.exe (Daedalic Entertainment) [Datei ist nicht signiert]
FirewallRules: [{ECDA42F2-140F-455B-8981-C715E24B1E75}] => (Allow) D:\SteamLibrary\steamapps\common\TheDarkEye Cos\satinav.exe (Daedalic Entertainment) [Datei ist nicht signiert]
FirewallRules: [{A8E854CF-0BA6-48B1-88FE-EDAC88EC5CB8}] => (Allow) D:\SteamLibrary\steamapps\common\TheDarkEye Cos\VisionaireConfigurationTool.exe (Daedalic Entertainment) [Datei ist nicht signiert]
FirewallRules: [{648EC6B7-323D-44BD-B6AB-8BA2EA2DDE86}] => (Allow) D:\SteamLibrary\steamapps\common\TheDarkEye Cos\VisionaireConfigurationTool.exe (Daedalic Entertainment) [Datei ist nicht signiert]
FirewallRules: [{5CDC7CF0-5C76-4E3F-991B-AF0506BC944E}] => (Allow) I:\Spiele\steam\steamapps\common\Chaos on Deponia\deponia2.exe (Daedalic Entertainment GmbH) [Datei ist nicht signiert]
FirewallRules: [{C305C0DF-B161-43E9-81EB-D1F56E1682CC}] => (Allow) I:\Spiele\steam\steamapps\common\Chaos on Deponia\deponia2.exe (Daedalic Entertainment GmbH) [Datei ist nicht signiert]
FirewallRules: [{7A1AE93B-D4BD-43B6-9F26-79E77D64C1A8}] => (Allow) I:\Spiele\steam\steamapps\common\Chaos on Deponia\VisionaireConfigurationTool.exe (Daedalic Entertainment) [Datei ist nicht signiert]
FirewallRules: [{47A9FC7A-AFFF-4A8C-B198-C2AA60BA96AA}] => (Allow) I:\Spiele\steam\steamapps\common\Chaos on Deponia\VisionaireConfigurationTool.exe (Daedalic Entertainment) [Datei ist nicht signiert]
FirewallRules: [{95BFE034-D4CD-4498-B6DB-3CDCA9ED44B9}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Silence\Silence.exe () [Datei ist nicht signiert]
FirewallRules: [{9E4F2B36-A986-4FD5-A131-0EAFBDB7B208}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Silence\Silence.exe () [Datei ist nicht signiert]
FirewallRules: [{DF2E799F-9B48-4081-B6ED-D2696E63854D}] => (Allow) I:\Spiele\steam\steamapps\common\they bleed pixels\They Bleed Pixels PC.exe () [Datei ist nicht signiert]
FirewallRules: [{1196E104-A1CE-46F7-97EC-CECDB16B6E0F}] => (Allow) I:\Spiele\steam\steamapps\common\they bleed pixels\They Bleed Pixels PC.exe () [Datei ist nicht signiert]
FirewallRules: [TCP Query User{C46643FA-DC2B-4C87-B84A-1A97B3D20FDF}C:\users\btl\appdata\roaming\chime\chime.exe] => (Block) C:\users\btl\appdata\roaming\chime\chime.exe => Keine Datei
FirewallRules: [UDP Query User{ECAA9D86-B52D-4984-B93F-789752EB6A20}C:\users\btl\appdata\roaming\chime\chime.exe] => (Block) C:\users\btl\appdata\roaming\chime\chime.exe => Keine Datei
FirewallRules: [{3C2C3FED-81D2-4600-A9AA-56C98F2184DF}] => (Allow) C:\Users\BTL\AppData\Roaming\Zoom\bin\Zoom.exe (Zoom Video Communications, Inc. -> Zoom Video Communications, Inc.)
FirewallRules: [{E25B14C3-C1A8-44F8-9D0C-8377EF2E99E1}] => (Allow) C:\Users\BTL\AppData\Roaming\Zoom\bin\airhost.exe => Keine Datei
FirewallRules: [{A5DE1D65-2079-4762-BA50-44FD3A71B21C}] => (Allow) C:\Users\BTL\AppData\Roaming\Zoom\bin\airhost.exe => Keine Datei
FirewallRules: [{EF5121A3-1A4B-413E-90E4-B13C8F909F0B}] => (Allow) D:\Battlestate Games\BsgLauncher\BsgLauncher.exe => Keine Datei
FirewallRules: [{9E3C385C-6CD6-4DBF-B43E-C25B43211328}] => (Allow) D:\Battlestate Games\BsgLauncher\BsgLauncher.exe => Keine Datei
FirewallRules: [TCP Query User{8D18B63B-D4F9-4397-B01B-21D46078C2C7}C:\users\btl\appdata\local\faceit\app-1.31.5\faceit.exe] => (Block) C:\users\btl\appdata\local\faceit\app-1.31.5\faceit.exe => Keine Datei
FirewallRules: [UDP Query User{909E2EA7-414E-42A6-82F0-AF879DAAE3C2}C:\users\btl\appdata\local\faceit\app-1.31.5\faceit.exe] => (Block) C:\users\btl\appdata\local\faceit\app-1.31.5\faceit.exe => Keine Datei
FirewallRules: [{D3777152-0DBE-4954-B2D8-473E12EF4127}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Splitgate\equ8-launcher.exe (Int3 Software AB -> Int3 Software AB)
FirewallRules: [{C39A46CD-5E84-4871-AE0F-B01C09C13EB0}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Splitgate\equ8-launcher.exe (Int3 Software AB -> Int3 Software AB)
FirewallRules: [{33C4CA67-3888-4E35-9368-92039AC56AA5}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Splitgate\PortalWars\Binaries\Win64\PortalWars-Win64-Shipping.exe (1047 Games, LLC -> Epic Games, Inc.)
FirewallRules: [{E2745DDD-DACE-4A03-934E-25705D7EA0DD}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Splitgate\PortalWars\Binaries\Win64\PortalWars-Win64-Shipping.exe (1047 Games, LLC -> Epic Games, Inc.)
FirewallRules: [TCP Query User{06996480-33E8-4EB2-AD93-99F7FC829989}F:\spiele\riot games\riot client\riotclientservices.exe] => (Block) F:\spiele\riot games\riot client\riotclientservices.exe (Riot Games, Inc. -> Riot Games, Inc.)
FirewallRules: [UDP Query User{D4B6E343-BE33-4E6C-AD00-D5ED49B30A33}F:\spiele\riot games\riot client\riotclientservices.exe] => (Block) F:\spiele\riot games\riot client\riotclientservices.exe (Riot Games, Inc. -> Riot Games, Inc.)
FirewallRules: [{FD90B873-DD0B-4413-8667-3B47D5D22D5C}] => (Allow) C:\Program Files\HP\HP Deskjet 2510 series\Bin\USBSetup.exe (HP Inc. -> Hewlett-Packard Co.)
FirewallRules: [{B59DB995-9C4E-43B5-8753-5A1161D02AA9}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Commander Keen\base1\dosbox.exe (DOSBox Team) [Datei ist nicht signiert]
FirewallRules: [{6D35D9A2-1E04-43AE-BDDB-5A8B3B73F709}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Commander Keen\base1\dosbox.exe (DOSBox Team) [Datei ist nicht signiert]
FirewallRules: [{3560F997-05AE-418F-86ED-4D7727729351}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Commander Keen\base2\dosbox.exe (DOSBox Team) [Datei ist nicht signiert]
FirewallRules: [{674CF5FA-7755-49BF-AC73-9B67B8A1C0E3}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Commander Keen\base2\dosbox.exe (DOSBox Team) [Datei ist nicht signiert]
FirewallRules: [{70CEEC13-E244-453B-8926-CE729DF9CCDD}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Commander Keen\base3\dosbox.exe (DOSBox Team) [Datei ist nicht signiert]
FirewallRules: [{C3F050E5-CFB5-4D70-BE83-09E345AC6584}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Commander Keen\base3\dosbox.exe (DOSBox Team) [Datei ist nicht signiert]
FirewallRules: [{219F43BC-2D7A-4D89-9B46-2074EFCC5D52}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Commander Keen\base4\dosbox.exe (DOSBox Team) [Datei ist nicht signiert]
FirewallRules: [{69C2A05C-3F63-4914-A223-4F041439000B}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Commander Keen\base4\dosbox.exe (DOSBox Team) [Datei ist nicht signiert]
FirewallRules: [{528BCF3D-80D7-442B-B534-DF600FC4FA6C}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Commander Keen\base5\dosbox.exe (DOSBox Team) [Datei ist nicht signiert]
FirewallRules: [{404DE30D-9AC8-4DAD-9CD4-952CD3B71258}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\Commander Keen\base5\dosbox.exe (DOSBox Team) [Datei ist nicht signiert]
FirewallRules: [TCP Query User{684509CF-12FE-49DE-A66D-065E104FD0B9}C:\users\btl\appdata\local\faceit\app-1.31.7\faceit.exe] => (Block) C:\users\btl\appdata\local\faceit\app-1.31.7\faceit.exe => Keine Datei
FirewallRules: [UDP Query User{3BD2B94B-7702-4007-9CE3-6292ADD8E1A9}C:\users\btl\appdata\local\faceit\app-1.31.7\faceit.exe] => (Block) C:\users\btl\appdata\local\faceit\app-1.31.7\faceit.exe => Keine Datei
FirewallRules: [{143572CF-0EFE-4A48-8104-6A0C9CA52366}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\MultiVersus\start_protected_game.exe (EasyAntiCheat Oy -> Epic Games, Inc.)
FirewallRules: [{BAF9B939-D989-4762-8872-5DDE63FDC653}] => (Allow) F:\Spiele\SteamLibrary\steamapps\common\MultiVersus\start_protected_game.exe (EasyAntiCheat Oy -> Epic Games, Inc.)
FirewallRules: [TCP Query User{0D27578B-7A84-4A02-9EA6-F34AC62C603B}F:\programs\monero-gui-win-x64-v0.18.1.0\monero-gui-v0.18.1.0\monero-wallet-gui.exe] => (Allow) F:\programs\monero-gui-win-x64-v0.18.1.0\monero-gui-v0.18.1.0\monero-wallet-gui.exe () [Datei ist nicht signiert]
FirewallRules: [UDP Query User{865BC397-B044-4FC9-B6E3-5C7A1F819AD7}F:\programs\monero-gui-win-x64-v0.18.1.0\monero-gui-v0.18.1.0\monero-wallet-gui.exe] => (Allow) F:\programs\monero-gui-win-x64-v0.18.1.0\monero-gui-v0.18.1.0\monero-wallet-gui.exe () [Datei ist nicht signiert]
FirewallRules: [TCP Query User{F3E36404-34C8-4334-BDF0-6E139E21DC50}F:\programs\monero-gui-win-x64-v0.18.1.0\monero-gui-v0.18.1.0\monerod.exe] => (Allow) F:\programs\monero-gui-win-x64-v0.18.1.0\monero-gui-v0.18.1.0\monerod.exe () [Datei ist nicht signiert]
FirewallRules: [UDP Query User{A2846F0A-ECE9-4EEB-B7B9-D1FAD8AFCEEA}F:\programs\monero-gui-win-x64-v0.18.1.0\monero-gui-v0.18.1.0\monerod.exe] => (Allow) F:\programs\monero-gui-win-x64-v0.18.1.0\monero-gui-v0.18.1.0\monerod.exe () [Datei ist nicht signiert]
FirewallRules: [TCP Query User{8DE84271-903F-462C-84FD-D468241665B6}F:\programs\monero-gui-win-x64-v0.18.1.1\monero-gui-v0.18.1.1\monero-wallet-gui.exe] => (Allow) F:\programs\monero-gui-win-x64-v0.18.1.1\monero-gui-v0.18.1.1\monero-wallet-gui.exe () [Datei ist nicht signiert]
FirewallRules: [UDP Query User{FD0CFF79-493D-4985-8967-BD06B1D1EFC5}F:\programs\monero-gui-win-x64-v0.18.1.1\monero-gui-v0.18.1.1\monero-wallet-gui.exe] => (Allow) F:\programs\monero-gui-win-x64-v0.18.1.1\monero-gui-v0.18.1.1\monero-wallet-gui.exe () [Datei ist nicht signiert]
FirewallRules: [TCP Query User{53ABF22A-671F-4ECB-ACBD-02F618F3ABE0}F:\programs\monero-gui-win-x64-v0.18.1.1\monero-gui-v0.18.1.1\monerod.exe] => (Allow) F:\programs\monero-gui-win-x64-v0.18.1.1\monero-gui-v0.18.1.1\monerod.exe () [Datei ist nicht signiert]
FirewallRules: [UDP Query User{4D3A6148-9AAA-4444-B67F-339005A7C41B}F:\programs\monero-gui-win-x64-v0.18.1.1\monero-gui-v0.18.1.1\monerod.exe] => (Allow) F:\programs\monero-gui-win-x64-v0.18.1.1\monero-gui-v0.18.1.1\monerod.exe () [Datei ist nicht signiert]
FirewallRules: [{F0CA2E03-9458-4248-9CB3-F2EC516DA336}] => (Allow) D:\SteamLibrary\steamapps\common\quakechampions\client\bin\pc\QuakeChampions.exe (Bethesda Softworks LLC -> id Software)
FirewallRules: [{270CA938-0041-45B7-8971-33855C0B3AA5}] => (Allow) D:\SteamLibrary\steamapps\common\quakechampions\client\bin\pc\QuakeChampions.exe (Bethesda Softworks LLC -> id Software)
FirewallRules: [{D3893F7F-BFEC-4034-8462-DF5A8A9CE11A}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{9EF8E6A8-F8AA-470D-9E5F-46042CBDE841}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [TCP Query User{D001AD90-C7E2-4865-BF31-7CC80A7827B1}C:\users\btl\appdata\local\i2p\i2p.exe] => (Allow) C:\users\btl\appdata\local\i2p\i2p.exe () [Datei ist nicht signiert]
FirewallRules: [UDP Query User{8D63130F-A312-47D8-9B83-DF9043D22D75}C:\users\btl\appdata\local\i2p\i2p.exe] => (Allow) C:\users\btl\appdata\local\i2p\i2p.exe () [Datei ist nicht signiert]
FirewallRules: [TCP Query User{14257DA2-777A-4A9E-A863-56E62D73090B}F:\programs\monero-gui-win-x64-v0.18.1.2\monero-gui-v0.18.1.2\monero-wallet-gui.exe] => (Allow) F:\programs\monero-gui-win-x64-v0.18.1.2\monero-gui-v0.18.1.2\monero-wallet-gui.exe () [Datei ist nicht signiert]
FirewallRules: [UDP Query User{B1034D0B-7F98-4FE8-A7A6-375EA81CA449}F:\programs\monero-gui-win-x64-v0.18.1.2\monero-gui-v0.18.1.2\monero-wallet-gui.exe] => (Allow) F:\programs\monero-gui-win-x64-v0.18.1.2\monero-gui-v0.18.1.2\monero-wallet-gui.exe () [Datei ist nicht signiert]
FirewallRules: [TCP Query User{95DFFE0A-4CC5-4A98-A903-756D2C0E9D5B}F:\programs\monero-gui-win-x64-v0.18.1.2\monero-gui-v0.18.1.2\monerod.exe] => (Block) F:\programs\monero-gui-win-x64-v0.18.1.2\monero-gui-v0.18.1.2\monerod.exe () [Datei ist nicht signiert]
FirewallRules: [UDP Query User{FEEB706B-109C-464C-9ADE-B8F3820F7022}F:\programs\monero-gui-win-x64-v0.18.1.2\monero-gui-v0.18.1.2\monerod.exe] => (Block) F:\programs\monero-gui-win-x64-v0.18.1.2\monero-gui-v0.18.1.2\monerod.exe () [Datei ist nicht signiert]
FirewallRules: [TCP Query User{5BD23854-055D-4B69-8022-F1A90F0591EB}C:\users\btl\appdata\local\faceit\app-1.31.9\faceit.exe] => (Block) C:\users\btl\appdata\local\faceit\app-1.31.9\faceit.exe => Keine Datei
FirewallRules: [UDP Query User{644DF218-FEA4-4E09-9D57-473E3E2E1000}C:\users\btl\appdata\local\faceit\app-1.31.9\faceit.exe] => (Block) C:\users\btl\appdata\local\faceit\app-1.31.9\faceit.exe => Keine Datei
FirewallRules: [{525F139A-5DFB-4F78-B10E-2D3257C97DC0}] => (Allow) I:\Spiele\steam\steamapps\common\Audiosurf\engine\QuestViewer.exe () [Datei ist nicht signiert]
FirewallRules: [{54307059-4871-499F-AB23-A9436A2D3383}] => (Allow) I:\Spiele\steam\steamapps\common\Audiosurf\engine\QuestViewer.exe () [Datei ist nicht signiert]
FirewallRules: [{24C3A6A8-DA0D-4B77-BBD4-5519828C8E12}] => (Allow) D:\Program Files (x86)\ArcheRage\ArcheRage.to\Launcher.exe (Rhythmstix Ltd -> )
FirewallRules: [TCP Query User{6E8F4194-6A7E-40A4-A6DB-CC1B3DAF4AE2}C:\users\btl\appdata\local\faceit\app-1.31.11\faceit.exe] => (Block) C:\users\btl\appdata\local\faceit\app-1.31.11\faceit.exe => Keine Datei
FirewallRules: [UDP Query User{447DBCC5-5E02-40BF-915D-72AB5CF5135F}C:\users\btl\appdata\local\faceit\app-1.31.11\faceit.exe] => (Block) C:\users\btl\appdata\local\faceit\app-1.31.11\faceit.exe => Keine Datei
FirewallRules: [{EA29E202-E1C3-46A3-BD0E-7571D4B4618F}] => (Allow) I:\Spiele\steam\steamapps\common\natural selection 2\x64\NS2.exe (Unknown Worlds Entertainment, Inc. -> )
FirewallRules: [{418D43F8-830F-4B26-9939-8E56D49F7BAD}] => (Allow) I:\Spiele\steam\steamapps\common\natural selection 2\x64\NS2.exe (Unknown Worlds Entertainment, Inc. -> )
FirewallRules: [{3EBF7965-AB89-4299-8334-620432E52EB1}] => (Allow) G:\BlueStacks\BlueStacks X\BlueStacksWeb.exe => Keine Datei
FirewallRules: [{95BA0308-E7D6-4C43-8458-F7E98076123E}] => (Allow) G:\BlueStacks\BlueStacks X\Cloud Game.exe => Keine Datei
FirewallRules: [{5C135926-8AC8-4056-B5C4-107A1FD3DEC4}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Keine Datei
FirewallRules: [{A6B0469C-D50D-4025-A263-1A92AE5D4F0C}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Keine Datei
FirewallRules: [{ab5a56c8-13bd-4e86-9bde-ca1056d3c72f}] => (Allow) C:\Program Files\ldplayer9box\Ld9BoxHeadless.exe => Keine Datei
FirewallRules: [{c95213bc-5594-4f42-b0b2-1417d5d90df4}] => (Allow) C:\Program Files\ldplayerbox\LdVBoxHeadless.exe => Keine Datei
FirewallRules: [TCP Query User{ACED52CA-0025-47E6-B1DD-CDAEC450FB55}C:\users\btl\appdata\local\android\sdk\platform-tools\adb.exe] => (Block) C:\users\btl\appdata\local\android\sdk\platform-tools\adb.exe () [Datei ist nicht signiert]
FirewallRules: [UDP Query User{920462FA-156A-4123-9D63-CB45981C23C3}C:\users\btl\appdata\local\android\sdk\platform-tools\adb.exe] => (Block) C:\users\btl\appdata\local\android\sdk\platform-tools\adb.exe () [Datei ist nicht signiert]
FirewallRules: [TCP Query User{E9BFB3E4-D5DE-4B37-B391-70CE99ED6B33}C:\users\btl\appdata\local\discord\app-1.0.9013\discord.exe] => (Block) C:\users\btl\appdata\local\discord\app-1.0.9013\discord.exe => Keine Datei
FirewallRules: [UDP Query User{29D64282-8BA3-4672-A3AE-1D752269E2C4}C:\users\btl\appdata\local\discord\app-1.0.9013\discord.exe] => (Block) C:\users\btl\appdata\local\discord\app-1.0.9013\discord.exe => Keine Datei
FirewallRules: [TCP Query User{89AFBAED-EF7C-4DCB-B441-3F43A0B1B7D2}D:\steamlibrary\steamapps\common\counter-strike global offensive\game\bin\win64\cs2.exe] => (Block) D:\steamlibrary\steamapps\common\counter-strike global offensive\game\bin\win64\cs2.exe (Valve Corp. -> )
FirewallRules: [UDP Query User{4AF79ADD-0E49-4C17-946A-D3EBB3921405}D:\steamlibrary\steamapps\common\counter-strike global offensive\game\bin\win64\cs2.exe] => (Block) D:\steamlibrary\steamapps\common\counter-strike global offensive\game\bin\win64\cs2.exe (Valve Corp. -> )
FirewallRules: [TCP Query User{2FC1542B-C4C9-4795-B6C8-D112365F8186}C:\users\btl\appdata\local\programs\allstar\allstar desktop application.exe] => (Block) C:\users\btl\appdata\local\programs\allstar\allstar desktop application.exe => Keine Datei
FirewallRules: [UDP Query User{E99FB914-76A0-4CE7-9308-A4CB8CDC843E}C:\users\btl\appdata\local\programs\allstar\allstar desktop application.exe] => (Block) C:\users\btl\appdata\local\programs\allstar\allstar desktop application.exe => Keine Datei
FirewallRules: [{58C11F58-9CC1-498A-A910-DB8275C4C030}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.100.3203.0_x64__kzf8qxf38zg5c\Skype\Skype.exe (Skype Software Sarl -> Skype Technologies S.A.)
FirewallRules: [{FD4CB5CE-1FA1-45A9-BCC6-D804A613410D}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.100.3203.0_x64__kzf8qxf38zg5c\Skype\Skype.exe (Skype Software Sarl -> Skype Technologies S.A.)
FirewallRules: [{F29532AD-4605-4871-8194-788339080A5F}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.100.3203.0_x64__kzf8qxf38zg5c\Skype\Skype.exe (Skype Software Sarl -> Skype Technologies S.A.)
FirewallRules: [{D1BEA67A-3925-4C4E-A21D-C9A9E5B075E2}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.100.3203.0_x64__kzf8qxf38zg5c\Skype\Skype.exe (Skype Software Sarl -> Skype Technologies S.A.)
FirewallRules: [{78B33B4B-5CB4-4536-8CE4-B87DC889CA60}] => (Allow) C:\Program Files (x86)\Microsoft\EdgeWebView\Application\115.0.1901.188\msedgewebview2.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{DA3C00CA-0632-4B94-8E09-E16464E2BCF1}] => (Block) LPort=135
FirewallRules: [{04D4F2AC-DF7D-4D49-A31F-878DC215FEB2}] => (Block) LPort=135
FirewallRules: [TCP Query User{49EA5311-85BF-4BC1-A77F-9E8E766D4CAC}D:\spiele\solar\log360\jre\bin\java.exe] => (Allow) D:\spiele\solar\log360\jre\bin\java.exe => Keine Datei
FirewallRules: [UDP Query User{FC01EAE4-F744-422F-BFF2-CD503C0720F2}D:\spiele\solar\log360\jre\bin\java.exe] => (Allow) D:\spiele\solar\log360\jre\bin\java.exe => Keine Datei
FirewallRules: [TCP Query User{B53A066E-7F84-4015-AABA-942D51B40672}D:\spiele\solar\elasticsearch\jre\bin\java.exe] => (Block) D:\spiele\solar\elasticsearch\jre\bin\java.exe
FirewallRules: [UDP Query User{1CA2B222-4086-41A5-843F-5A53F37EDD7B}D:\spiele\solar\elasticsearch\jre\bin\java.exe] => (Block) D:\spiele\solar\elasticsearch\jre\bin\java.exe
FirewallRules: [TCP Query User{808CA3A3-1107-4D7E-AA6A-EE22620907D8}D:\spiele\solar\eventlog analyzer\jre\bin\java.exe] => (Block) D:\spiele\solar\eventlog analyzer\jre\bin\java.exe => Keine Datei
FirewallRules: [UDP Query User{F6B3BD10-295E-4302-A0FF-3348272B01C7}D:\spiele\solar\eventlog analyzer\jre\bin\java.exe] => (Block) D:\spiele\solar\eventlog analyzer\jre\bin\java.exe => Keine Datei
FirewallRules: [TCP Query User{D09DE52D-3F69-4672-A3D5-35DFBE4C0FD2}D:\spiele\solar\eventlog analyzer\bin\sysevtcol.exe] => (Allow) D:\spiele\solar\eventlog analyzer\bin\sysevtcol.exe => Keine Datei
FirewallRules: [UDP Query User{FB9C577E-56A4-4E9D-89E2-E6D6E1BFC823}D:\spiele\solar\eventlog analyzer\bin\sysevtcol.exe] => (Allow) D:\spiele\solar\eventlog analyzer\bin\sysevtcol.exe => Keine Datei

==================== Wiederherstellungspunkte =========================

ACHTUNG: Systemwiederherstellung ist deaktiviert (Total:111.16 GB) (Free:37.4 GB) (34%)

==================== Fehlerhafte Geräte im Gerätemanager ============

Name: NVIDIA High Definition Audio
Description: NVIDIA High Definition Audio
Class Guid: {4d36e96c-e325-11ce-bfc1-08002be10318}
Manufacturer: NVIDIA
Service: NVHDA
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Intel(R) Wireless Bluetooth(R)
Description: Intel(R) Wireless Bluetooth(R)
Class Guid: {e0cbf06c-cd8b-4647-bb8a-263b43f0f974}
Manufacturer: Intel Corporation
Service: BTHUSB
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Nahimic mirroring device
Description: Nahimic mirroring device
Class Guid: {4d36e96c-e325-11ce-bfc1-08002be10318}
Manufacturer: Nahimic
Service: Nahimic_Mirroring
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Fehlereinträge in der Ereignisanzeige: ========================

Applikationsfehler:
==================
Error: (08/02/2023 12:15:06 PM) (Source: CertEnroll) (EventID: 86) (User: NT-AUTORITÄT)
Description: Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für WORKGROUP\DESKTOP-IAT217H$ über https://AMD-KeyId-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net/templates/Aik/scep:

GetCACaps
GetCACaps: Not Found
{"Message":"The authority \"amd-keyid-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net\" does not exist."}
HTTP/1.1 404 Not Found
Date: Wed, 02 Aug 2023 10:15:05 GMT
Content-Length: 121
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000;includeSubDomains
x-ms-request-id: 237e206e-635e-436d-abe4-2597c15713bd

Methode: GET(422ms)
Phase: GetCACaps
Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)

Error: (08/01/2023 04:01:05 PM) (Source: CertEnroll) (EventID: 86) (User: NT-AUTORITÄT)
Description: Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für WORKGROUP\DESKTOP-IAT217H$ über https://AMD-KeyId-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net/templates/Aik/scep:

GetCACaps
GetCACaps: Not Found
{"Message":"The authority \"amd-keyid-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net\" does not exist."}
HTTP/1.1 404 Not Found
Date: Tue, 01 Aug 2023 14:01:05 GMT
Content-Length: 121
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000;includeSubDomains
x-ms-request-id: d1209a49-0f16-45ff-b876-886bb740742d

Methode: GET(359ms)
Phase: GetCACaps
Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)

Error: (08/01/2023 01:12:59 PM) (Source: CertEnroll) (EventID: 86) (User: NT-AUTORITÄT)
Description: Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für WORKGROUP\DESKTOP-IAT217H$ über https://AMD-KeyId-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net/templates/Aik/scep:

GetCACaps
GetCACaps: Not Found
{"Message":"The authority \"amd-keyid-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net\" does not exist."}
HTTP/1.1 404 Not Found
Date: Tue, 01 Aug 2023 11:12:59 GMT
Content-Length: 121
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000;includeSubDomains
x-ms-request-id: 33da2095-f7f7-49f0-9e4f-ffd44e2f5436

Methode: GET(406ms)
Phase: GetCACaps
Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)

Error: (08/01/2023 05:04:06 AM) (Source: CertEnroll) (EventID: 86) (User: NT-AUTORITÄT)
Description: Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für WORKGROUP\DESKTOP-IAT217H$ über https://AMD-KeyId-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net/templates/Aik/scep:

GetCACaps
GetCACaps: Not Found
{"Message":"The authority \"amd-keyid-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net\" does not exist."}
HTTP/1.1 404 Not Found
Date: Tue, 01 Aug 2023 03:04:05 GMT
Content-Length: 121
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000;includeSubDomains
x-ms-request-id: 87f1514a-b5a4-4431-8dba-f91f7329fa8e

Methode: GET(297ms)
Phase: GetCACaps
Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)

Error: (07/31/2023 07:44:28 PM) (Source: CertEnroll) (EventID: 86) (User: NT-AUTORITÄT)
Description: Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für WORKGROUP\DESKTOP-IAT217H$ über https://AMD-KeyId-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net/templates/Aik/scep:

GetCACaps
GetCACaps: Not Found
{"Message":"The authority \"amd-keyid-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net\" does not exist."}
HTTP/1.1 404 Not Found
Date: Mon, 31 Jul 2023 17:44:26 GMT
Content-Length: 121
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000;includeSubDomains
x-ms-request-id: 40a90a10-7580-41aa-874b-5ebcb789976e

Methode: GET(250ms)
Phase: GetCACaps
Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)

Error: (07/31/2023 07:09:38 PM) (Source: CertEnroll) (EventID: 86) (User: NT-AUTORITÄT)
Description: Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für WORKGROUP\DESKTOP-IAT217H$ über https://AMD-KeyId-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net/templates/Aik/scep:

GetCACaps
GetCACaps: Not Found
{"Message":"The authority \"amd-keyid-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net\" does not exist."}
HTTP/1.1 404 Not Found
Date: Mon, 31 Jul 2023 17:09:36 GMT
Content-Length: 121
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000;includeSubDomains
x-ms-request-id: 0b806cf0-b11b-4918-8827-007984ea9fa5

Methode: GET(281ms)
Phase: GetCACaps
Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)

Error: (07/31/2023 07:07:46 PM) (Source: CertEnroll) (EventID: 86) (User: NT-AUTORITÄT)
Description: Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für WORKGROUP\DESKTOP-IAT217H$ über https://AMD-KeyId-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net/templates/Aik/scep:

GetCACaps
GetCACaps: Not Found
{"Message":"The authority \"amd-keyid-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net\" does not exist."}
HTTP/1.1 404 Not Found
Date: Mon, 31 Jul 2023 17:07:44 GMT
Content-Length: 121
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000;includeSubDomains
x-ms-request-id: 293682f3-aaa0-4d3c-bcd5-84c89941ece1

Methode: GET(297ms)
Phase: GetCACaps
Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)

Error: (07/31/2023 06:46:51 PM) (Source: CertEnroll) (EventID: 86) (User: NT-AUTORITÄT)
Description: Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für WORKGROUP\DESKTOP-IAT217H$ über https://AMD-KeyId-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net/templates/Aik/scep:

GetCACaps
GetCACaps: Not Found
{"Message":"The authority \"amd-keyid-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net\" does not exist."}
HTTP/1.1 404 Not Found
Date: Mon, 31 Jul 2023 16:46:48 GMT
Content-Length: 121
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000;includeSubDomains
x-ms-request-id: 4680e463-989f-4d97-b513-51e060f7c389

Methode: GET(265ms)
Phase: GetCACaps
Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)


Systemfehler:
=============
Error: (08/02/2023 03:07:33 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Treiber konnte nicht geladen werden.

Error: (08/02/2023 03:07:33 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: \??\C:\Users\BTL\AppData\Local\Temp\ehdrv.sys

Error: (08/02/2023 03:07:32 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Treiber konnte nicht geladen werden.

Error: (08/02/2023 03:07:32 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: \??\C:\Users\BTL\AppData\Local\Temp\ehdrv.sys

Error: (08/02/2023 03:07:32 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Treiber konnte nicht geladen werden.

Error: (08/02/2023 03:07:32 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: \??\C:\Users\BTL\AppData\Local\Temp\ehdrv.sys

Error: (08/02/2023 03:07:32 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Treiber konnte nicht geladen werden.

Error: (08/02/2023 03:07:32 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: \??\C:\Users\BTL\AppData\Local\Temp\ehdrv.sys


Windows Defender:
================
Date: 2023-08-02 16:06:47
Description: 
Die Microsoft Defender Antivirus-Überprüfung wurde vor ihrem Abschluss beendet.
Überprüfungs-ID: {4F6D5CD0-C3C6-489B-9093-6F39C080A8F9}
Überprüfungstyp: Antimalware
Überprüfungsparameter: Benutzerdefinierte Überprüfung
Benutzer: DESKTOP-IAT217H\BTL

Date: 2023-08-02 13:59:42
Description: 
C:\Windows\System32\notepad.exe wurde durch den überwachten Ordnerzugriff daran gehindert, %userprofile%\Pictures\r placeDE\memes\Flarson\ zu ändern.
Erkennungszeit: 2023-08-02T11:59:42.133Z
Benutzer: DESKTOP-IAT217H\BTL
Pfad: %userprofile%\Pictures\r placeDE\memes\Flarson\
Prozessname: C:\Windows\System32\notepad.exe
Sicherheitsversion: 1.393.2059.0
Modulversion: 1.1.23060.1005
Produktversion: 4.18.23050.9

Date: 2023-08-02 13:59:36
Description: 
C:\Windows\System32\notepad.exe wurde durch den überwachten Ordnerzugriff daran gehindert, %userprofile%\Pictures\r placeDE\memes\Flarson\ zu ändern.
Erkennungszeit: 2023-08-02T11:59:36.628Z
Benutzer: DESKTOP-IAT217H\BTL
Pfad: %userprofile%\Pictures\r placeDE\memes\Flarson\
Prozessname: C:\Windows\System32\notepad.exe
Sicherheitsversion: 1.393.2059.0
Modulversion: 1.1.23060.1005
Produktversion: 4.18.23050.9

Date: 2023-08-02 13:57:58
Description: 
C:\Users\BTL\Pictures\r placeDE\memes\Flarson\FRST64.exe wurde durch den überwachten Ordnerzugriff daran gehindert, %userprofile%\Pictures\r placeDE\memes\Flarson\ zu ändern.
Erkennungszeit: 2023-08-02T11:57:58.314Z
Benutzer: DESKTOP-IAT217H\BTL
Pfad: %userprofile%\Pictures\r placeDE\memes\Flarson\
Prozessname: C:\Users\BTL\Pictures\r placeDE\memes\Flarson\FRST64.exe
Sicherheitsversion: 1.393.2059.0
Modulversion: 1.1.23060.1005
Produktversion: 4.18.23050.9

Date: 2023-08-02 11:18:36
Description: 
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=PUA:Win64/CoinMiner&threatid=238862&enterprise=0
Name: PUA:Win64/CoinMiner
Schweregrad: Niedrig
Kategorie: Potenziell unerwünschte Software
Pfad: containerfile:_C:\Users\BTL\Downloads\monero-gui-win-x64-v0.18.1.2.zip; containerfile:_F:\Programs\monero-gui-win-x64-v0.18.1.2.zip; file:_C:\Users\BTL\Downloads\monero-gui-win-x64-v0.18.1.2.zip->monero-gui-v0.18.1.2/extras/monero-blockchain-import.exe; file:_C:\Users\BTL\Downloads\monero-gui-win-x64-v0.18.1.2.zip->monero-gui-v0.18.1.2/extras/monero-wallet-rpc.exe; file:_F:\Programs\monero-gui-win-x64-v0.18.1.2.zip->monero-gui-v0.18.1.2/extras/monero-blockchain-import.exe; file:_F:\Programs\monero-gui-win-x64-v0.18.1.2.zip->monero-gui-v0.18.1.2/extras/monero-wallet-rpc.exe; file:_F:\Programs\monero-gui-win-x64-v0.18.1.2\monero-gui-v0.18.1.2\extras\monero-blockchain-import.exe; file:_F:\Programs\monero-gui-win-x64-v0.18.1.2\monero-gui-v0.18.1.2\extras\monero-wallet-rpc.exe
Erkennungsursprung: Lokaler Computer
Erkennungstype: FastPath
Erkennungsquelle: Benutzer
Benutzer: DESKTOP-IAT217H\BTL
Prozessname: Unknown
Sicherheitsversion: AV: 1.393.2046.0, AS: 1.393.2046.0, NIS: 1.393.2046.0
Modulversion: AM: 1.1.23060.1005, NIS: 1.1.23060.1005
Event[0]:

Date: 2023-06-29 12:26:53
Description: 
Bei Microsoft Defender Antivirus ist ein Fehler beim Aktualisieren der Sicherheitsinformationen aufgetreten.
Neue Version der Sicherheitsinformationen: 
%Vorherige Version der Sicherheitsinformationen: 1.391.2994.0
Update Source: Microsoft Update-Server
Sicherheitstyp: AntiVirus
Updatetyp: Voll
Benutzer: NT-AUTORITÄT\SYSTEM
Aktuelle Modulversion: 
%Vorherige Modulversion: 1.1.23050.3
Fehlercode: 0x80080005
Fehlerbeschreibung: Starten des Servers fehlgeschlagen 

CodeIntegrity:
===============
Date: 2023-07-24 19:17:56
Description: 
Windows is unable to verify the image integrity of the file \Device\HarddiskVolume8\Program Files\Malwarebytes\Anti-Malware\MBAMWsc.exe because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

Date: 2023-07-14 20:29:43
Description: 
Code Integrity determined that a process (\Device\HarddiskVolume8\Program Files (x86)\Microsoft\EdgeWebView\Application\114.0.1823.79\msedgewebview2.exe) attempted to load \Device\HarddiskVolume8\ProgramData\A-Volute\A-Volute.Nahimic\Modules\Scheduled\x64\AudioDevProps2.dll that did not meet the Microsoft signing level requirements.

Date: 2023-03-30 15:36:44
Description: 
Windows is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files\Microvirt\MEmuHyperv\MEmuNetLwf.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

Date: 2023-03-30 15:36:44
Description: 
Windows is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files\Microvirt\MEmuHyperv\netflt\MEmuNetFlt.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

Date: 2023-03-30 15:36:44
Description: 
Windows is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files\Microvirt\MEmuHyperv\MEmuNetFlt.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.


==================== Speicherinformationen =========================== 

BIOS: American Megatrends International, LLC. 1.G3 09/26/2021
Hauptplatine: Micro-Star International Co., Ltd. MPG X570 GAMING EDGE WIFI (MS-7C37)
Prozessor: AMD Ryzen 7 5800X 8-Core Processor 
Prozentuale Nutzung des RAM: 33%
Installierter physikalischer RAM: 32689.71 MB
Verfügbarer physikalischer RAM: 21616.16 MB
Summe virtueller Speicher: 37553.71 MB
Verfügbarer virtueller Speicher: 24597.64 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:111.16 GB) (Free:37.4 GB) (Model: Intenso SSD) NTFS
Drive d: (Volume) (Fixed) (Total:476.94 GB) (Free:141.69 GB) (Model: Samsung SSD 840 PRO Series) NTFS
Drive e: () (Fixed) (Total:31.41 GB) (Free:31.08 GB) (Model: WDC WD5000AAKS-00V1A0) NTFS
Drive f: (Volume) (Fixed) (Total:849.48 GB) (Free:150.09 GB) (Model: ST1000LM048-2E7172) NTFS
Drive g: () (Fixed) (Total:298.09 GB) (Free:48.79 GB) (Model: WDC WD3200BEVT-00ZCT0) NTFS
Drive h: () (Fixed) (Total:217.12 GB) (Free:143.38 GB) (Model: WDC WD5000AAKS-00V1A0) NTFS
Drive i: () (Fixed) (Total:217.12 GB) (Free:8.51 GB) (Model: WDC WD5000AAKS-00V1A0) NTFS
Drive j: (Audio CD) (CDROM) (Total:0 GB) (Free:0 GB) CDFS

\\?\Volume{05293ca0-27d2-45d5-8913-d9c66b53a14d}\ () (Fixed) (Total:0.51 GB) (Free:0.08 GB) NTFS
\\?\Volume{4a4b4a22-7612-4f01-9b48-1fd1e40778a0}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

==================== MBR & Partitionstabelle ====================

==========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 476.9 GB) (Disk ID: 99C1899F)
Partition 1: (Not Active) - (Size=476.9 GB) - (Type=07 NTFS)

==========================================================
Disk: 1 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: D902E285)
Partition 1: (Not Active) - (Size=31.4 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=217.1 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=217.1 GB) - (Type=07 NTFS)

==========================================================
Disk: 2 (MBR Code: Windows 7/8/10) (Size: 931.5 GB) (Disk ID: 590075DD)
Partition 1: (Not Active) - (Size=849.5 GB) - (Type=07 NTFS)

==========================================================
Disk: 3 (Protective MBR) (Size: 111.8 GB) (Disk ID: 00000000)

Partition: GPT.

==========================================================
Disk: 4 (Size: 298.1 GB) (Disk ID: 90909090)
Partition 1: (Not Active) - (Size=298.1 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt =======================
         
Please advise, was kann ich noch machen? Die funde aus dem Monero Wallet client hatte ich schon Monate auf der Platte und laut denen ein "false positiv" weil ein miner mit drin ist. War mir aber damals nicht bekannt.

Danke schonmal fuer die Hilfe

p.s.: was mir noch aufgefallen ist, ist, dass die Microsoft Visual C++ Redistributable Eintraege, die nicht hidden sind, eine andere Namenskonvention haben als die anderen Eintraege diesbzgl., hat das was zu bedeuten? Notepad wurde uebrigens blockiert, weil ich FRST aus nem geschuetzten Ordner raus ausgefuehrt hatte, hatte das dann korrigiert.

Edit: Ich bin bloed, der Name von der PUA an den ich mich nicht erinnere lautet Win32/Vigua.A, steht ja noch im GUI.

Edit 2: Hatte die letzte Stunde 153 Process Creation events laut security log, Event ID 4688 und 96 User Account Managment Eintraege, Event ID 4798, bei beiden Events werden nur die Erfolgreichen Vorgaenge geloggt.

Mir faellt noch was ein
Code:
ATTFilter
Der Softwareschutzdienst wurde erfolgreich für den erneuten Start bei 2123-07-09T15:24:47Z geplant. Grund: RulesEngine.
         
Musste heute oder gestern den TaskScheduler diesbzgl anwerfen, danach war das Datum wieder richtig, aber mittlerweile isses wieder falsch, obwohl die behobene vorherige Ursache nicht wieder eingetreten ist.
Angehängte Dateien
Dateityp: zip FRST 1.zip (20,3 KB, 4x aufgerufen)

Geändert von xool (02.08.2023 um 17:35 Uhr)

Alt 02.08.2023, 18:04   #2
M-K-D-B
/// TB-Ausbilder
 
Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord - Standard

Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord







Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.



Aktive Malware kann ich keine erkennen.
Wir können im Discordordner nach manipulierten Dateien suchen, ist aber sehr aufwendig.


Zudem können wir ein benutzerspezifisches Skript mit FRST zur Entfernung verwaister Einträge und Überprüfung der Systemdateien ausführen sowie 1-2 weitere Tools drüberjagen, wenn du das möchtest.
__________________


Geändert von M-K-D-B (02.08.2023 um 18:10 Uhr)

Alt 02.08.2023, 18:48   #3
xool
 
Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord - Standard

Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord



Hallo Matthias,

danke fuer die schnelle Rueckmeldung

Wenn du dir die Zeit dafuer nehmen wollen wuerdest koennen wir das gerne mit dem Skript machen. Kann man da zusaetzlich noch Parameter mitgeben um den Defender etwas schaerfer zu schalten? Ich bilde mir ein sowas im Forum von Malwarebytes gesehen zu haben, daher habe ich auch die commands Get-MpComputerStatus, Get-MpPreference und Get-MpThreatdetection.

Bzgl, Discord, waere es nicht einfacher Discord zu deinstallieren, etwaige verbleibende Verzeichnisse zu loeschen und neu zu installieren? Oder waere das zu risky falls da wirklich was sein sollte. Dass da auf dem falschen Soundkanal die besagten Geraeusche herkamen hab ich mir ja nicht eingebildet, dazu hab ich am Tag davor jemandem bei seinem Rechner ueber Discord geholfen, der sich sehr dumm gestellt hatte, meinte er hat keine Ahnung von Rechnern, zeigt mir dann aber zwischendurch, dass er sich mit winget und paar anderen Sachen bissl auskennt, dann kamen waehrend seinem Stream Anomielen im Client.

Bzgl, Eventlog, in der letzten Stunde, wo ich praktisch nichts gemacht habe, gab es folgende neue Eintraege alleine in der Ueberwachung der Sicherheit:
Code:
ATTFilter
399 * Event ID 4688
122 * Event ID 4798
550 * Event ID 5379
4 * Event ID 5382
4* Event ID 5061
1 * Event ID 5033 (weiss leider nicht, wann die Firewall aus war und warum, zur selben Zeit wurde eine Benutzerrichtlinien-Ueberwachungstabelle erstellt)

Dazu wurde von SYSTEM mein Konto geaendert, aber das einzige was geaendert wurde war, das mein Anzeigenname, der eh schon drin stand, nochmal reingeschrieben wurde, zum Zeitpunkt, als die Firewall wieder gestartet ist.

Ausserdem hat SYSTEM der Registry den Token NULL SID zugeordnet
         
Hast du da 'ne Ahnung?

Achso, wenn du noch weisst, welche Richtlinie ich anpassen muss, damit
Code:
ATTFilter
Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\SYSTEM" (SID: S-1-5-18) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Start" für die COM-Serveranwendung mit der CLSID 
Windows.SecurityCenter.WscDataProtection
 und der APPID 
Nicht verfügbar
 im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar) gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool für Komponentendienste geändert werden.
         
Nicht mehr vorkommt, das waere klasse, ansonsten les ich mir noch mal alle Beschreibungen durch, wo der Name der Regel was damit zu tun haben koennte.

In jedam Fall schonmal ein dickes Danke, falls du dich da ran setzen moechtest

Edit: Firewall war vermutlich wegen Defender Update kurz aus

p.s.: Bin uebrigens schon seit Ende der 2000er Fan von dem Forum hier, aber jetzt das erste mal selber was geschrieben.

p.p.s.: Habe vorhin mal Discord gestartet und dann nach ner weile in den Taskmanager geguckt. Es wurden 2 Discord Prozesse angezeigt, wobei einer mit 3 anderen gruppiert war und der andere hatte hohen Stromverbrauch und ~10% Prozessorlast bei 'nem 5800X, im Vergleich zu max. 1% bei den gruppierten Prozessen. Habe den gierigen Prozess einfach beendet, ich hatte im Programm keinen Nachteil dadurch und bis jetzt ist der Prozess so nicht mehr aufgetaucht.
__________________

Geändert von xool (02.08.2023 um 19:46 Uhr)

Alt 02.08.2023, 21:22   #4
M-K-D-B
/// TB-Ausbilder
 
Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord - Standard

Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord



Servus,



wir lassen jetzt erst mal ein Skript mit FRST laufen. Wir entfernen verwaiste Einträge, überprüfen die Systemdateien und setzen einige Standardwerte für Dienste und den Windows Defender.



Bezüglich Discord... ans Deinstallieren hatte ich auch gedacht. Deinstalliere doch Discord über "Start > Einstellungen > Apps".
Lösche anschließend (falls noch vorhanden) die folgenden beiden Ordner:
C:\Users\BTL\AppData\Roaming\discord
C:\Users\BTL\AppData\Local\discord

Dann sollte das passen.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    SystemRestore: On 
    CreateRestorePoint:
    CloseProcesses:
    CustomCLSID: HKU\S-1-5-21-1761826180-2724818943-2495402748-1001_Classes\CLSID\{13357088-9834-0409-1600-134951500000}\localserver32 -> "C:\Program Files\Adobe\Acrobat DC\Acrobat\ADNotificationManager.exe" -ToastActivated => Keine Datei
    CustomCLSID: HKU\S-1-5-21-1761826180-2724818943-2495402748-1001_Classes\CLSID\{38142727-3008-9161-1521-349515000000}\localserver32 -> "C:\Program Files\Adobe\Acrobat DC\Acrobat\ADNotificationManager.exe" -ToastActivated => Keine Datei
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [10]
    GroupPolicy: Beschränkung ? <==== ACHTUNG
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    S1 npcap; \SystemRoot\system32\DRIVERS\npcap.sys [X]
    U4 npcap_wifi; kein ImagePath
    S3 NTIOLib_DVDSetup; \??\J:\NTIOLib_X64.sys [X]
    S3 rsDwf; \SystemRoot\system32\DRIVERS\rsDwf.sys [X]
    startpowershell:
    Set-Service -Name "BITS" -StartupType Manual -Verbose
    Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
    Set-Service -Name "EventLog" -StartupType Automatic -Verbose
    Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
    Set-Service -Name "nsi" -StartupType Automatic -Verbose
    Set-Service -Name "RasMan" -StartupType Manual -Verbose
    Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
    Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
    Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
    Set-Service -Name "VSS" -StartupType Manual -Verbose
    Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
    Set-Service -Name "wuauserv" -StartupType Manual -Verbose
    
    Set-MpPreference -DisableAutoExclusions $true -Force
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -DisableArchiveScanning $false -Force
    Set-MpPreference -DisableBehaviorMonitoring $false -Force
    Set-MpPreference -DisableEmailScanning $False -Force
    Set-MpPreference -DisableIOAVProtection $false -Force
    Set-MpPreference -DisablePrivacyMode $true -Force
    Set-MpPreference -DisableRealtimeMonitoring $false -Force
    Set-MpPreference -MAPSReporting Advanced -Force
    Set-MpPreference -PUAProtection enabled -Force
    Set-MpPreference -SignatureScheduleDay Everyday -Force
    Set-MpPreference -DisableRemovableDriveScanning $false -Force
    Set-MpPreference -SubmitSamplesConsent SendSafeSamples
    
    Function Remove-all-windefend-excludes {
    $Paths=(Get-MpPreference).ExclusionPath
    $Extensions=(Get-MpPreference).ExclusionExtension
    $Processes=(Get-MpPreference).ExclusionProcess
    foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
    foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
    foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
    }
    Set-MpPreference -DisableAutoExclusions $true -Force
    Remove-all-windefend-excludes
    endpowershell:
    
    CMD: WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
    CMD: WMIC SERVICE WHERE Name="nsi" set startmode="auto"
    CMD: WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
    CMD: WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
    CMD: WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
    CMD: WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
    CMD: WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
    CMD: WMIC SERVICE WHERE Name="vss" set startmode="manual"
    CMD: WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
    CMD: WMIC SERVICE WHERE Name="bfe" set startmode="auto"
    CMD: WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
    CMD: WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
    CMD: WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
    CMD: WMIC SERVICE WHERE Name="rasman" set startmode="manual"
    CMD: WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
    
    CMD: net start sdrsvc
    CMD: net start vss
    CMD: net start rpcss
    CMD: net start eventsystem
    CMD: net start winmgmt
    CMD: net start msiserver
    CMD: net start bfe
    CMD: net start trustedinstaller
    CMD: WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
    CMD: WMIC SERVICE WHERE Name="windefend" CALL startservice
    CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
    CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
    CMD: net start windefend
    CMD: net start mpssvc
    CMD: net start mpsdrv
    
    CMD: netsh winsock reset
    CMD: netsh int ip reset
    CMD: ipconfig /release
    CMD: ipconfig /renew
    CMD: ipconfig /flushdns
    CMD: ipconfig /registerdns
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: netsh winhttp reset proxy
    CMD: Bitsadmin /Reset /Allusers
    CMD: Winmgmt /salvagerepository 
    CMD: Winmgmt /resetrepository 
    CMD: winmgmt /resyncperf
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: sfc /scannow
    Hosts:
    RemoveProxy:
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt auf den Button Reparieren.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!

  • Wichtig:
    • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
      Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
    • Mit dieser Reparatur werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
    • Mit dieser Reparatur werden die Windows Firewall-Einstellungen zurückgesetzt. Du wirst möglicherweise später aufgefordert, legitimen Programmen eine Erlaubnis/Ausnahme für die Firewall zu erteilen. Dies solltest du dann erlauben/zulassen.

  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Alt 03.08.2023, 00:04   #5
xool
 
Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord - Standard

Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord



Code:
ATTFilter
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 01-08-2023
durchgeführt von BTL (02-08-2023 23:20:49) Run:1
Gestartet von C:\Users\BTL\Downloads
Geladene Profile: BTL
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
Start::
SystemRestore: On 
CreateRestorePoint:
CloseProcesses:
CustomCLSID: HKU\S-1-5-21-1761826180-2724818943-2495402748-1001_Classes\CLSID\{13357088-9834-0409-1600-134951500000}\localserver32 -> "C:\Program Files\Adobe\Acrobat DC\Acrobat\ADNotificationManager.exe" -ToastActivated => Keine Datei
CustomCLSID: HKU\S-1-5-21-1761826180-2724818943-2495402748-1001_Classes\CLSID\{38142727-3008-9161-1521-349515000000}\localserver32 -> "C:\Program Files\Adobe\Acrobat DC\Acrobat\ADNotificationManager.exe" -ToastActivated => Keine Datei
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [10]
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
S1 npcap; \SystemRoot\system32\DRIVERS\npcap.sys [X]
U4 npcap_wifi; kein ImagePath
S3 NTIOLib_DVDSetup; \??\J:\NTIOLib_X64.sys [X]
S3 rsDwf; \SystemRoot\system32\DRIVERS\rsDwf.sys [X]
startpowershell:
Set-Service -Name "BITS" -StartupType Manual -Verbose
Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
Set-Service -Name "EventLog" -StartupType Automatic -Verbose
Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
Set-Service -Name "nsi" -StartupType Automatic -Verbose
Set-Service -Name "RasMan" -StartupType Manual -Verbose
Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
Set-Service -Name "VSS" -StartupType Manual -Verbose
Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
Set-Service -Name "wuauserv" -StartupType Manual -Verbose

Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -DisableArchiveScanning $false -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -DisableEmailScanning $False -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -MAPSReporting Advanced -Force
Set-MpPreference -PUAProtection enabled -Force
Set-MpPreference -SignatureScheduleDay Everyday -Force
Set-MpPreference -DisableRemovableDriveScanning $false -Force
Set-MpPreference -SubmitSamplesConsent SendSafeSamples

Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:

CMD: WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="nsi" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="vss" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="bfe" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="rasman" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"

CMD: net start sdrsvc
CMD: net start vss
CMD: net start rpcss
CMD: net start eventsystem
CMD: net start winmgmt
CMD: net start msiserver
CMD: net start bfe
CMD: net start trustedinstaller
CMD: WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
CMD: WMIC SERVICE WHERE Name="windefend" CALL startservice
CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
CMD: net start windefend
CMD: net start mpssvc
CMD: net start mpsdrv

CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository 
CMD: Winmgmt /resetrepository 
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
Hosts:
RemoveProxy:
EmptyTemp:
End::
*****************

SystemRestore: On => abgeschlossen
Wiederherstellungspunkt wurde erfolgreich erstellt.
Prozesse erfolgreich geschlossen.
HKU\S-1-5-21-1761826180-2724818943-2495402748-1001_Classes\CLSID\{13357088-9834-0409-1600-134951500000} => erfolgreich entfernt
HKU\S-1-5-21-1761826180-2724818943-2495402748-1001_Classes\CLSID\{38142727-3008-9161-1521-349515000000} => erfolgreich entfernt
C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini => ":B1DA6C571C" ADS erfolgreich entfernt
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk => ":550995E265" ADS erfolgreich entfernt

"C:\Windows\system32\GroupPolicy\Machine" Ordner verschieben:

C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\ProgramData\NTUSER.pol => erfolgreich verschoben
HKLM\System\CurrentControlSet\Services\npcap => erfolgreich entfernt
npcap => Dienst erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\npcap_wifi => erfolgreich entfernt
npcap_wifi => Dienst erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\NTIOLib_DVDSetup => erfolgreich entfernt
NTIOLib_DVDSetup => Dienst erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\rsDwf => erfolgreich entfernt
rsDwf => Dienst erfolgreich entfernt

========= Powershell: =========


========= Ende von Powershell: =========


========= WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="DcomLaunch"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="nsi" set startmode="auto" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="nsi"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="dhcp" set startmode="auto" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="Dhcp"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="rpcss" set startmode="auto" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="RpcSs"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="RpcEptMapper"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="winmgmt" set startmode="auto" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="Winmgmt"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="SDRSVC"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="vss" set startmode="manual" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="VSS"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="eventlog" set startmode="auto" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="EventLog"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="bfe" set startmode="auto" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="BFE"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="eventsystem" set startmode="auto" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="EventSystem"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="msiserver" set startmode="manual" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="msiserver"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="SstpSvc"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="rasman" set startmode="manual" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="RasMan"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto" =========

Eigenschaften von "\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="TrustedInstaller"" werden aktualisiert

Eigenschaft(en) wurde(n) aktualisiert.



========= Ende von CMD: =========


========= net start sdrsvc =========

Windows-Sicherung wird gestartet.
Windows-Sicherung wurde erfolgreich gestartet.



========= Ende von CMD: =========


========= net start vss =========

Der angeforderte Dienst wurde bereits gestartet.

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2182 eingeben.



========= Ende von CMD: =========


========= net start rpcss =========

Der angeforderte Dienst wurde bereits gestartet.

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2182 eingeben.



========= Ende von CMD: =========


========= net start eventsystem =========

Der angeforderte Dienst wurde bereits gestartet.

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2182 eingeben.



========= Ende von CMD: =========


========= net start winmgmt =========

Der angeforderte Dienst wurde bereits gestartet.

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2182 eingeben.



========= Ende von CMD: =========


========= net start msiserver =========

Windows Installer wird gestartet.
Windows Installer wurde erfolgreich gestartet.



========= Ende von CMD: =========


========= net start bfe =========

Der angeforderte Dienst wurde bereits gestartet.

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2182 eingeben.



========= Ende von CMD: =========


========= net start trustedinstaller =========

Windows Modules Installer wird gestartet.
Windows Modules Installer wurde erfolgreich gestartet.



========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic" =========

(\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="WinDefend")->ChangeStartMode() wird ausgefhrt

Methode wurde ausgefhrt.

Ausgabeparameter:
instance of __PARAMETERS
{
	ReturnValue = 2;
};


========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="windefend" CALL startservice =========

(\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="WinDefend")->startservice() wird ausgefhrt

Methode wurde ausgefhrt.

Ausgabeparameter:
instance of __PARAMETERS
{
	ReturnValue = 10;
};


========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual" =========

(\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="SecurityHealthService")->ChangeStartMode() wird ausgefhrt

Methode wurde ausgefhrt.

Ausgabeparameter:
instance of __PARAMETERS
{
	ReturnValue = 2;
};


========= Ende von CMD: =========


========= WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice =========

(\\DESKTOP-IAT217H\ROOT\CIMV2:Win32_Service.Name="SecurityHealthService")->startservice() wird ausgefhrt

Methode wurde ausgefhrt.

Ausgabeparameter:
instance of __PARAMETERS
{
	ReturnValue = 10;
};


========= Ende von CMD: =========


========= net start windefend =========

Der angeforderte Dienst wurde bereits gestartet.

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2182 eingeben.



========= Ende von CMD: =========


========= net start mpssvc =========

Der angeforderte Dienst wurde bereits gestartet.

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2182 eingeben.



========= Ende von CMD: =========


========= net start mpsdrv =========

Der angeforderte Dienst wurde bereits gestartet.

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2182 eingeben.



========= Ende von CMD: =========


========= netsh winsock reset =========


Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.



========= Ende von CMD: =========


========= netsh int ip reset =========

Depotweiterleitung wird zurckgesetzt... OK
Depot wird zurckgesetzt... OK
Steuerungsprotokoll wird zurckgesetzt... OK
Echosequenzanforderung wird zurckgesetzt... OK
Global wird zurckgesetzt... OK
Schnittstelle wird zurckgesetzt... OK
Anycastadresse wird zurckgesetzt... OK
Multicastadresse wird zurckgesetzt... OK
Unicastadresse wird zurckgesetzt... OK
Nachbar wird zurckgesetzt... OK
Pfad wird zurckgesetzt... OK
Potentiell wird zurckgesetzt... OK
Pr„fixrichtlinie wird zurckgesetzt... OK
Proxynachbar wird zurckgesetzt... OK
Route wird zurckgesetzt... OK
Standordpr„fix wird zurckgesetzt... OK
Unterschnittstelle wird zurckgesetzt... OK
Reaktivierungsmuster wird zurckgesetzt... OK
Nachbar aufl”sen wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... Fehler
Zugriff verweigert

 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
Starten Sie den Computer neu, um die Aktion abzuschlieáen.



========= Ende von CMD: =========


========= ipconfig /release =========


Windows-IP-Konfiguration


Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix: 
   Standardgateway . . . . . . . . . : 


========= Ende von CMD: =========


========= ipconfig /renew =========


Windows-IP-Konfiguration


Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   IPv4-Adresse  . . . . . . . . . . : 192.168.178.22
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.178.1


========= Ende von CMD: =========


========= ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.


========= Ende von CMD: =========


========= ipconfig /registerdns =========


Windows-IP-Konfiguration

Die Registrierung der DNS-Ressourceneintr„ge fr alle Adapter dieses Computer wurde initialisiert. Fehler werden in der Ereignisanzeige in 15 Minuten aufgefhrt.


========= Ende von CMD: =========


========= netsh advfirewall reset =========

OK.



========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.



========= Ende von CMD: =========


========= netsh winhttp reset proxy =========


Aktuelle WinHTTP-Proxyeinstellungen:

    DirectAccess (kein Proxyserver).



========= Ende von CMD: =========


========= Bitsadmin /Reset /Allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

{96AE8AA0-C65F-409B-89CD-2BF4A4DD7F0C} canceled.
1 out of 1 jobs canceled.


========= Ende von CMD: =========


========= Winmgmt /salvagerepository =========

Das WMI-Repository ist konsistent.


========= Ende von CMD: =========


========= Winmgmt /resetrepository =========

Das WMI-Repository wurde zurckgesetzt.


========= Ende von CMD: =========


========= winmgmt /resyncperf =========

0

========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= sfc /scannow =========



Systemsuche wird gestartet. Dieser Vorgang kann einige Zeit dauern.



Überprüfungsphase der Systemsuche wird gestartet.


Überprüfung 0 % abgeschlossen.
Überprüfung 1 % abgeschlossen.
Überprüfung 1 % abgeschlossen.
Überprüfung 2 % abgeschlossen.
Überprüfung 2 % abgeschlossen.
Überprüfung 3 % abgeschlossen.
Überprüfung 4 % abgeschlossen.
Überprüfung 4 % abgeschlossen.
Überprüfung 5 % abgeschlossen.
Überprüfung 5 % abgeschlossen.
Überprüfung 6 % abgeschlossen.
Überprüfung 6 % abgeschlossen.
Überprüfung 7 % abgeschlossen.
Überprüfung 8 % abgeschlossen.
Überprüfung 8 % abgeschlossen.
Überprüfung 9 % abgeschlossen.
Überprüfung 9 % abgeschlossen.
Überprüfung 10 % abgeschlossen.
Überprüfung 10 % abgeschlossen.
Überprüfung 11 % abgeschlossen.
Überprüfung 12 % abgeschlossen.
Überprüfung 12 % abgeschlossen.
Überprüfung 13 % abgeschlossen.
Überprüfung 13 % abgeschlossen.
Überprüfung 14 % abgeschlossen.
Überprüfung 14 % abgeschlossen.
Überprüfung 15 % abgeschlossen.
Überprüfung 16 % abgeschlossen.
Überprüfung 16 % abgeschlossen.
Überprüfung 17 % abgeschlossen.
Überprüfung 17 % abgeschlossen.
Überprüfung 18 % abgeschlossen.
Überprüfung 18 % abgeschlossen.
Überprüfung 19 % abgeschlossen.
Überprüfung 20 % abgeschlossen.
Überprüfung 20 % abgeschlossen.
Überprüfung 21 % abgeschlossen.
Überprüfung 21 % abgeschlossen.
Überprüfung 22 % abgeschlossen.
Überprüfung 22 % abgeschlossen.
Überprüfung 23 % abgeschlossen.
Überprüfung 24 % abgeschlossen.
Überprüfung 24 % abgeschlossen.
Überprüfung 25 % abgeschlossen.
Überprüfung 25 % abgeschlossen.
Überprüfung 26 % abgeschlossen.
Überprüfung 26 % abgeschlossen.
Überprüfung 27 % abgeschlossen.
Überprüfung 28 % abgeschlossen.
Überprüfung 28 % abgeschlossen.
Überprüfung 29 % abgeschlossen.
Überprüfung 29 % abgeschlossen.
Überprüfung 30 % abgeschlossen.
Überprüfung 31 % abgeschlossen.
Überprüfung 31 % abgeschlossen.
Überprüfung 32 % abgeschlossen.
Überprüfung 32 % abgeschlossen.
Überprüfung 33 % abgeschlossen.
Überprüfung 33 % abgeschlossen.
Überprüfung 34 % abgeschlossen.
Überprüfung 35 % abgeschlossen.
Überprüfung 35 % abgeschlossen.
Überprüfung 36 % abgeschlossen.
Überprüfung 36 % abgeschlossen.
Überprüfung 37 % abgeschlossen.
Überprüfung 37 % abgeschlossen.
Überprüfung 38 % abgeschlossen.
Überprüfung 39 % abgeschlossen.
Überprüfung 39 % abgeschlossen.
Überprüfung 40 % abgeschlossen.
Überprüfung 40 % abgeschlossen.
Überprüfung 41 % abgeschlossen.
Überprüfung 41 % abgeschlossen.
Überprüfung 42 % abgeschlossen.
Überprüfung 43 % abgeschlossen.
Überprüfung 43 % abgeschlossen.
Überprüfung 44 % abgeschlossen.
Überprüfung 44 % abgeschlossen.
Überprüfung 45 % abgeschlossen.
Überprüfung 45 % abgeschlossen.
Überprüfung 46 % abgeschlossen.
Überprüfung 47 % abgeschlossen.
Überprüfung 47 % abgeschlossen.
Überprüfung 48 % abgeschlossen.
Überprüfung 48 % abgeschlossen.
Überprüfung 49 % abgeschlossen.
Überprüfung 49 % abgeschlossen.
Überprüfung 50 % abgeschlossen.
Überprüfung 51 % abgeschlossen.
Überprüfung 51 % abgeschlossen.
Überprüfung 52 % abgeschlossen.
Überprüfung 52 % abgeschlossen.
Überprüfung 53 % abgeschlossen.
Überprüfung 53 % abgeschlossen.
Überprüfung 54 % abgeschlossen.
Überprüfung 55 % abgeschlossen.
Überprüfung 55 % abgeschlossen.
Überprüfung 56 % abgeschlossen.
Überprüfung 56 % abgeschlossen.
Überprüfung 57 % abgeschlossen.
Überprüfung 57 % abgeschlossen.
Überprüfung 58 % abgeschlossen.
Überprüfung 59 % abgeschlossen.
Überprüfung 59 % abgeschlossen.
Überprüfung 60 % abgeschlossen.
Überprüfung 60 % abgeschlossen.
Überprüfung 61 % abgeschlossen.
Überprüfung 62 % abgeschlossen.
Überprüfung 62 % abgeschlossen.
Überprüfung 63 % abgeschlossen.
Überprüfung 63 % abgeschlossen.
Überprüfung 64 % abgeschlossen.
Überprüfung 64 % abgeschlossen.
Überprüfung 65 % abgeschlossen.
Überprüfung 66 % abgeschlossen.
Überprüfung 66 % abgeschlossen.
Überprüfung 67 % abgeschlossen.
Überprüfung 67 % abgeschlossen.
Überprüfung 68 % abgeschlossen.
Überprüfung 68 % abgeschlossen.
Überprüfung 69 % abgeschlossen.
Überprüfung 70 % abgeschlossen.
Überprüfung 70 % abgeschlossen.
Überprüfung 71 % abgeschlossen.
Überprüfung 71 % abgeschlossen.
Überprüfung 72 % abgeschlossen.
Überprüfung 72 % abgeschlossen.
Überprüfung 73 % abgeschlossen.
Überprüfung 74 % abgeschlossen.
Überprüfung 74 % abgeschlossen.
Überprüfung 75 % abgeschlossen.
Überprüfung 75 % abgeschlossen.
Überprüfung 76 % abgeschlossen.
Überprüfung 76 % abgeschlossen.
Überprüfung 77 % abgeschlossen.
Überprüfung 78 % abgeschlossen.
Überprüfung 78 % abgeschlossen.
Überprüfung 79 % abgeschlossen.
Überprüfung 79 % abgeschlossen.
Überprüfung 80 % abgeschlossen.
Überprüfung 80 % abgeschlossen.
Überprüfung 81 % abgeschlossen.
Überprüfung 82 % abgeschlossen.
Überprüfung 82 % abgeschlossen.
Überprüfung 83 % abgeschlossen.
Überprüfung 83 % abgeschlossen.
Überprüfung 84 % abgeschlossen.
Überprüfung 84 % abgeschlossen.
Überprüfung 85 % abgeschlossen.
Überprüfung 86 % abgeschlossen.
Überprüfung 86 % abgeschlossen.
Überprüfung 87 % abgeschlossen.
Überprüfung 87 % abgeschlossen.
Überprüfung 88 % abgeschlossen.
Überprüfung 88 % abgeschlossen.
Überprüfung 89 % abgeschlossen.
Überprüfung 90 % abgeschlossen.
Überprüfung 90 % abgeschlossen.
Überprüfung 91 % abgeschlossen.
Überprüfung 91 % abgeschlossen.
Überprüfung 92 % abgeschlossen.
Überprüfung 93 % abgeschlossen.
Überprüfung 93 % abgeschlossen.
Überprüfung 94 % abgeschlossen.
Überprüfung 94 % abgeschlossen.
Überprüfung 95 % abgeschlossen.
Überprüfung 95 % abgeschlossen.
Überprüfung 96 % abgeschlossen.
Überprüfung 97 % abgeschlossen.
Überprüfung 97 % abgeschlossen.
Überprüfung 98 % abgeschlossen.
Überprüfung 98 % abgeschlossen.
Überprüfung 99 % abgeschlossen.
Überprüfung 99 % abgeschlossen.
Überprüfung 100 % abgeschlossen.


Der Windows-Ressourcenschutz hat keine Integritätsverletzungen gefunden.



========= Ende von CMD: =========

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.

========= RemoveProxy: =========

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => abgeschlossen
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 70725359 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 1169726836 B
Windows/system/drivers => 90849863 B
Edge => 0 B
Chrome => 80023688 B
Firefox => 282362298 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 22766 B
NetworkService => 1138760 B
BTL => 83589563 B

RecycleBin => 0 B
EmptyTemp: => 1.7 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 23:23:18 ====
         
Danke fuer die Muehe
Hier schonmal FRST scans

FRST.txt
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 01-08-2023
durchgeführt von BTL (Administrator) auf DESKTOP-IAT217H (Micro-Star International Co., Ltd. MS-7C37) (02-08-2023 23:54:53)
Gestartet von C:\Users\BTL\Downloads\FRST64.exe
Geladene Profile: BTL
Plattform: Microsoft Windows 10 Pro Version 22H2 19045.3271 (X64) Sprache: Deutsch (Deutschland)
Standard-Browser: Edge
Start-Modus: Normal

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(A-Volute SAS -> A-Volute) C:\Users\BTL\AppData\Local\NhNotifSys\nahimic\nahimicNotifSys.exe
(explorer.exe ->) (Microsoft Corporation -> Microsoft Corporation) C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe <15>
(services.exe ->) (A-Volute SAS -> Nahimic) C:\Windows\System32\NahimicService.exe
(services.exe ->) (Microsoft Windows Publisher -> Microsoft Corporation) C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\MsMpEng.exe
(services.exe ->) (Microsoft Windows Publisher -> Microsoft Corporation) C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\NisSrv.exe
(services.exe ->) (NVIDIA Corporation -> NVIDIA Corporation) C:\Windows\System32\DriverStore\FileRepository\nv_dispig.inf_amd64_19f3764f95906f94\Display.NvContainer\NVDisplay.Container.exe <2>
(services.exe ->) (Realtek Semiconductor Corp. -> Realtek Semiconductor) C:\Windows\System32\DriverStore\FileRepository\realtekservice.inf_amd64_550508a90a3c9a47\RtkAudUService64.exe <2>
(svchost.exe ->) (21E1B422-257A-44A2-9C8F-379165856473 -> ) C:\Program Files\WindowsApps\A-Volute.Nahimic_1.9.20.0_x64__w2gh52qy24etm\Nahimic3.exe
(svchost.exe ->) (A-Volute SAS -> Nahimic) C:\Windows\System32\NahimicSvc64.exe
(svchost.exe ->) (A-Volute SAS -> Nahimic) C:\Windows\SysWOW64\NahimicSvc32.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\smartscreen.exe
(svchost.exe ->) (MICRO-STAR INTERNATIONAL CO., LTD. -> Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI Toast Server\MSIToastServer.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RtkAudUService] => C:\Windows\System32\DriverStore\FileRepository\realtekservice.inf_amd64_550508a90a3c9a47\RtkAudUService64.exe [1618320 2022-11-16] (Realtek Semiconductor Corp. -> Realtek Semiconductor)
HKLM\...\Run: [Riot Vanguard] => C:\Program Files\Riot Vanguard\vgtray.exe [3183328 2022-03-12] (Riot Games, Inc. -> Riot Games, Inc.)
HKLM\...\Run: [PDF24] => C:\Program Files\PDF24\pdf24.exe [587000 2022-02-14] (geek software GmbH -> geek software GmbH)
HKLM-x32\...\Run: [MSIRegister] => C:\Program Files (x86)\MSI\MSIRegister\MSIRegister.exe [1266864 2019-08-28] (MICRO-STAR INTERNATIONAL CO., LTD. -> Micro-Star INT'L CO., LTD.)
HKLM\...\Print\Monitors\HP AC11 Status Monitor: C:\Windows\system32\hpinkstsAC11LM.dll [331664 2012-06-13] (Hewlett Packard -> Hewlett-Packard Co.)
Startup: C:\Users\BTL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tintenwarnungen überwachen - HP Deskjet 2510 series.lnk [2022-11-12]
ShortcutAndArgument: Tintenwarnungen überwachen - HP Deskjet 2510 series.lnk -> C:\Windows\system32\RunDll32.exe => "C:\Program Files\HP\HP Deskjet 2510 series\bin\HPStatusBL.dll",RunDLLEntry SERIALNUMBER=CN28L2NH8C05QX;CONNECTION=USB;MONITOR=1;

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {DF24644F-389A-40AE-A032-07B17DB710FC} - System32\Tasks\Microsoft\Windows\Application Experience\MareBackup => Command(1): %windir%\system32\compattelrunner.exe -> -m:aeinv.dll -f:UpdateSoftwareInventoryW invsvc
Task: {DF24644F-389A-40AE-A032-07B17DB710FC} - System32\Tasks\Microsoft\Windows\Application Experience\MareBackup => Command(2): %windir%\system32\compattelrunner.exe -> -m:appraiser.dll -f:DoScheduledTelemetryRun
Task: {DF24644F-389A-40AE-A032-07B17DB710FC} - System32\Tasks\Microsoft\Windows\Application Experience\MareBackup => Command(3): %windir%\system32\compattelrunner.exe -> -m:aemarebackup.dll -f:BackupMareData
Task: {AEE82D2C-B9F5-4B6E-8935-9DE6C298CF32} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\MpCmdRun.exe [1649976 2023-07-25] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {3FD5A194-DDCC-4DA2-BDAC-EB7F622C8409} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cleanup => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\MpCmdRun.exe [1649976 2023-07-25] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {223238EF-17F7-4B35-8CF8-755007F91218} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\MpCmdRun.exe [1649976 2023-07-25] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {0ED41664-AC93-4875-8C58-01587A81CEF0} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Update => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\MpCmdRun.exe [1649976 2023-07-25] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {FC6D6116-C168-411E-B9C7-8260D6636D2B} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Verification => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\MpCmdRun.exe [1649976 2023-07-25] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {ADD43186-F94A-43F2-B3BD-8B71F388BF18} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [718752 2023-04-05] (Mozilla Corporation -> Mozilla Foundation)
Task: {E896DC59-9A96-4F82-B1A1-72C7E6CFFB62} - System32\Tasks\MSI_Toast_Server => C:\Program Files (x86)\MSI\MSI Toast Server\MSIToastServer.exe [31904 2019-03-05] (MICRO-STAR INTERNATIONAL CO., LTD. -> Micro-Star INT'L CO., LTD.)
Task: {D499221A-96AA-4AB5-9397-0B59ABE722CD} - System32\Tasks\NahimicSvc32Run => C:\Windows\SysWOW64\NahimicSvc32.exe [833704 2021-10-08] (A-Volute SAS -> Nahimic)
Task: {15C6AD74-46C8-4F33-AFFB-4A632C92ED34} - System32\Tasks\NahimicSvc64Run => C:\Windows\system32\NahimicSvc64.exe [1094824 2021-10-08] (A-Volute SAS -> Nahimic)
Task: {23A90B13-3437-4BDF-805F-133672640B5E} - System32\Tasks\NahimicTask32 => C:\Windows\system32\..\SysWOW64\NahimicSvc32.exe [833704 ] (A-Volute SAS -> Nahimic)
Task: {910686E9-EFC5-4B99-8224-F994ADF2639C} - System32\Tasks\NahimicTask64 => C:\Windows\system32\.\NahimicSvc64.exe [1094824 ] (A-Volute SAS -> Nahimic)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{11a555a7-b495-478d-bec7-16173cf2fcb2}: [NameServer] 8.8.8.8
Tcpip\..\Interfaces\{11a555a7-b495-478d-bec7-16173cf2fcb2}: [DhcpNameServer] 192.168.178.1

Edge: 
=======
Edge DefaultProfile: Default
Edge Profile: C:\Users\BTL\AppData\Local\Microsoft\Edge\User Data\Default [2023-08-02]
Edge Extension: (NoScript) - C:\Users\BTL\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\debdhlbmgmkkfjpcglcbjadbhhekgfjh [2022-06-14]
Edge Extension: (Tampermonkey) - C:\Users\BTL\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\iikmkjmpaadaobahmlepeloendndfphd [2023-07-23]
Edge Extension: (Edge relevant text changes) - C:\Users\BTL\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jmjflgjpcpepeafmmgdpfkogkghcpiha [2023-07-30]
Edge Extension: (Repeek (formerly FACEIT Enhancer)) - C:\Users\BTL\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\mokknliiomknodkdmpcellamkopbdmao [2023-07-30]
Edge Extension: (uBlock Origin) - C:\Users\BTL\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\odfafepnkmbhccpbejgmiehpchacaeak [2023-07-24]

FireFox:
========
FF DefaultProfile: pf7b5pw7.default
FF ProfilePath: C:\Users\BTL\AppData\Roaming\Mozilla\Firefox\Profiles\pf7b5pw7.default [2023-08-02]
FF ProfilePath: C:\Users\BTL\AppData\Roaming\Mozilla\Firefox\Profiles\xqd57sip.default-release [2023-08-02]
FF Extension: (Language: Deutsch (German)) - C:\Users\BTL\AppData\Roaming\Mozilla\Firefox\Profiles\xqd57sip.default-release\Extensions\langpack-de@firefox.mozilla.org.xpi [2023-05-18]

Chrome: 
=======
CHR DefaultProfile: Default
CHR Profile: C:\Users\BTL\AppData\Local\Google\Chrome\User Data\Default [2023-08-02]
CHR Extension: (Google Docs Offline) - C:\Users\BTL\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2023-06-04]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\BTL\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2023-04-04]
CHR Profile: C:\Users\BTL\AppData\Local\Google\Chrome\User Data\Profile 1 [2023-08-02]
CHR Extension: (Google Docs Offline) - C:\Users\BTL\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2023-05-17]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\BTL\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2023-05-17]
CHR Profile: C:\Users\BTL\AppData\Local\Google\Chrome\User Data\System Profile [2023-06-04]
CHR HKLM\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
CHR HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
CHR HKLM-x32\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]

==================== Dienste (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S4 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [803952 2020-05-01] (EasyAntiCheat Oy -> EasyAntiCheat Ltd)
S4 EasyAntiCheat_EOS; C:\Program Files (x86)\EasyAntiCheat_EOS\EasyAntiCheat_EOS.exe [584680 2022-07-20] (EasyAntiCheat Oy -> Epic Games, Inc.)
S4 EQU8_36; C:\ProgramData\EQU8\Splitgate\bin\anticheat.x64.equ8.exe [8344720 2022-02-23] (Int3 Software AB -> Int3 Software AB)
S3 FACEITService; C:\Program Files\FACEIT AC\faceitservice.exe [62017928 2023-07-14] (FACE IT LIMITED -> )
S3 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe [9278784 2023-08-02] (Malwarebytes Inc. -> Malwarebytes)
S4 MSIREGISTER_MR; C:\Program Files (x86)\MSI\MSIRegister\MSIRegisterService.exe [2019504 2019-08-28] (MICRO-STAR INTERNATIONAL CO., LTD. -> Micro-Star INT'L CO., LTD.)
R2 NahimicService; C:\Windows\system32\NahimicService.exe [1888424 2021-10-08] (A-Volute SAS -> Nahimic)
S4 PDF24; C:\Program Files\PDF24\pdf24.exe [587000 2022-02-14] (geek software GmbH -> geek software GmbH)
S4 Rockstar Service; G:\Spiele\Rockstar\RockstarService.exe [2017072 2021-12-16] (Rockstar Games, Inc. -> Rockstar Games) [Datei ist nicht signiert]
S3 Sense; C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe [402216 2023-07-31] (Microsoft Windows Publisher -> Microsoft Corporation)
S4 vgc; C:\Program Files\Riot Vanguard\vgc.exe [10401912 2022-03-12] (Riot Games, Inc. -> Riot Games, Inc.)
R3 WdNisSvc; C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\NisSrv.exe [3244928 2023-07-25] (Microsoft Windows Publisher -> Microsoft Corporation)
R2 WinDefend; C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\MsMpEng.exe [133576 2023-07-25] (Microsoft Windows Publisher -> Microsoft Corporation)
R2 NVDisplay.ContainerLocalSystem; C:\Windows\System32\DriverStore\FileRepository\nv_dispig.inf_amd64_19f3764f95906f94\Display.NvContainer\NVDisplay.Container.exe -s NVDisplay.ContainerLocalSystem -f %ProgramData%\NVIDIA\NVDisplay.ContainerLocalSystem.log -l 3 -d C:\Windows\System32\DriverStore\FileRepository\nv_dispig.inf_amd64_19f3764f95906f94\Display.NvContainer\plugins\LocalSystem -r -p 30000 -cfg NVDisplay.ContainerLocalSystem\LocalSystem

===================== Treiber (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R1 FACEIT; C:\Program Files\FACEIT AC\FACEIT_AC.sys [74634264 2023-07-14] (Microsoft Windows Hardware Compatibility Publisher -> )
S3 logi_joy_vir_hid; C:\Windows\system32\drivers\logi_joy_vir_hid.sys [32080 2023-06-10] (Logitech Inc -> Logitech)
S0 MbamElam; C:\Windows\System32\DRIVERS\MbamElam.sys [21480 2023-08-02] (Microsoft Windows Early Launch Anti-Malware Publisher -> Malwarebytes)
S3 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [239544 2023-08-02] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
S3 Nahimic_Mirroring; C:\Windows\System32\drivers\Nahimic_Mirroring.sys [86224 2022-08-19] (A-Volute SAS -> Windows (R) Win 7 DDK provider)
S3 npf; C:\Windows\system32\drivers\npf.sys [35344 2023-07-28] (CACE Technologies, Inc. -> CACE Technologies, Inc.)
R1 vgk; C:\Program Files\Riot Vanguard\vgk.sys [8508504 2022-03-11] (Riot Games, Inc. -> Riot Games, Inc.)
S0 WdBoot; C:\Windows\System32\drivers\wd\WdBoot.sys [49600 2023-07-25] (Microsoft Windows Early Launch Anti-Malware Publisher -> Microsoft Corporation)
R0 WdFilter; C:\Windows\System32\drivers\wd\WdFilter.sys [498944 2023-07-25] (Microsoft Windows -> Microsoft Corporation)
R3 WdNisDrv; C:\Windows\System32\drivers\wd\WdNisDrv.sys [99608 2023-07-25] (Microsoft Windows -> Microsoft Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat (erstellte) (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2023-08-02 23:54 - 2023-08-02 23:55 - 000014656 _____ C:\Users\BTL\Downloads\FRST.txt
2023-08-02 23:26 - 2023-08-02 23:26 - 000000008 _____ C:\ProgramData\ntuser.pol
2023-08-02 23:20 - 2023-08-02 23:55 - 000000000 ____D C:\FRST
2023-08-02 23:20 - 2023-08-02 23:23 - 000026789 _____ C:\Users\BTL\Downloads\Fixlog.txt
2023-08-02 23:19 - 2023-08-02 23:19 - 002700800 _____ (Farbar) C:\Users\BTL\Downloads\FRST64.exe
2023-08-02 18:47 - 2023-08-02 18:47 - 000001836 _____ C:\Users\BTL\Desktop\sc-cleaner.txt
2023-08-02 18:46 - 2023-08-02 18:46 - 000472016 _____ (Bleeping Computer, LLC) C:\Users\BTL\Downloads\sc-cleaner.exe
2023-08-02 17:51 - 2023-08-02 17:51 - 000020746 _____ C:\Users\BTL\Desktop\FRST 1.zip
2023-08-02 15:54 - 2023-08-02 15:54 - 000000000 ____D C:\Windows\system32\Tasks\Aufgaben der Ereignisanzeige
2023-08-02 15:52 - 2023-08-02 15:52 - 000002530 _____ C:\Users\BTL\Desktop\ESET scan log.txt
2023-08-02 14:56 - 2023-08-02 14:56 - 015274968 _____ (ESET) C:\Users\BTL\Desktop\esetonlinescanner.exe
2023-08-02 14:56 - 2023-08-02 14:56 - 000001380 _____ C:\Users\BTL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET Online Scanner.lnk
2023-08-02 14:56 - 2023-08-02 14:56 - 000001274 _____ C:\Users\BTL\Desktop\ESET Online Scanner.lnk
2023-08-02 14:56 - 2023-08-02 14:56 - 000000000 ____D C:\Users\BTL\AppData\Local\ESET
2023-08-02 14:00 - 2023-08-02 14:01 - 000059145 _____ C:\Users\BTL\Desktop\Addition.txt
2023-08-02 14:00 - 2023-08-02 14:01 - 000026592 _____ C:\Users\BTL\Desktop\FRST.txt
2023-08-02 13:55 - 2023-08-02 13:55 - 002700800 _____ (Farbar) C:\Users\BTL\Desktop\FRST64.exe
2023-08-02 12:23 - 2023-08-02 12:23 - 005637548 _____ C:\Users\Public\Desktop\mbst-grab-results.zip
2023-08-02 12:20 - 2023-08-02 12:20 - 014113080 _____ C:\Users\BTL\Downloads\mb-support-1.9.1.977.exe
2023-08-02 11:54 - 2023-08-02 11:54 - 000001476 _____ C:\Users\BTL\Desktop\google not google.txt
2023-08-02 11:49 - 2023-08-02 11:49 - 000001616 _____ C:\Users\BTL\Desktop\MBAM.txt
2023-08-02 11:47 - 2023-08-02 12:13 - 000000000 ____D C:\AdwCleaner
2023-08-02 11:38 - 2023-08-02 18:43 - 000000000 ____D C:\Users\BTL\AppData\Local\Malwarebytes
2023-08-02 11:38 - 2023-08-02 11:38 - 000002033 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
2023-08-02 11:38 - 2023-08-02 11:38 - 000002021 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
2023-08-02 11:36 - 2023-08-02 11:36 - 008791352 _____ (Malwarebytes) C:\Users\BTL\Downloads\adwcleaner.exe
2023-08-02 11:36 - 2023-08-02 11:36 - 000000000 ____D C:\ProgramData\Malwarebytes
2023-08-02 11:36 - 2023-08-02 11:36 - 000000000 ____D C:\Program Files\Malwarebytes
2023-08-02 11:35 - 2023-08-02 11:35 - 002606880 _____ (Malwarebytes) C:\Users\BTL\Downloads\MBSetup (2).exe
2023-08-02 08:05 - 2023-08-02 12:45 - 000011629 _____ C:\Users\BTL\Desktop\mpcomputerstatus.txt
2023-08-02 07:35 - 2023-08-02 07:35 - 001024589 _____ C:\Users\Public\Desktop\mbst-grab-results1.zip
2023-08-02 01:19 - 2023-08-02 01:19 - 000000000 ____D C:\Users\BTL\AppData\Roaming\Microsoft\InputMethod
2023-08-01 19:43 - 2023-08-01 19:43 - 011235476 _____ C:\Users\BTL\Downloads\Dashboard_Windows_Severity_Events_-_Failure_2023-08-01_19_42_54.csv
2023-08-01 16:43 - 2023-07-28 08:37 - 000369168 _____ (CACE Technologies, Inc.) C:\Windows\system32\wpcap.dll
2023-08-01 16:43 - 2023-07-28 08:37 - 000106000 _____ (CACE Technologies, Inc.) C:\Windows\system32\Packet.dll
2023-08-01 16:43 - 2023-07-28 08:37 - 000061440 _____ (CACE Technologies) C:\Windows\system32\WanPacket.dll
2023-08-01 16:43 - 2023-07-28 08:37 - 000035344 _____ (CACE Technologies, Inc.) C:\Windows\system32\Drivers\npf.sys
2023-08-01 05:11 - 2023-08-01 05:11 - 000000000 ____D C:\Users\BTL\Desktop\SolarWinds Security Event Manager
2023-08-01 03:50 - 2023-08-01 03:51 - 000000000 ____D C:\Users\BTL\wire
2023-08-01 03:02 - 2023-08-02 07:07 - 000000000 ____D C:\Users\BTL\AppData\Roaming\Wireshark
2023-08-01 03:01 - 2023-08-01 03:01 - 000001827 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wireshark.lnk
2023-08-01 02:58 - 2023-08-01 02:59 - 078981544 _____ (Wireshark development team) C:\Users\BTL\Downloads\Wireshark-win64-4.0.7.exe
2023-07-31 20:22 - 2023-07-31 20:22 - 000751091 _____ C:\Users\BTL\Downloads\Windows10andWindowsServer2019PolicySettings--22H2.xlsx
2023-07-31 19:07 - 2023-08-02 23:20 - 000000000 ___HD C:\Windows\system32\GroupPolicy
2023-07-31 18:38 - 2023-07-31 18:38 - 000000000 ___HD C:\$WinREAgent
2023-07-31 01:05 - 2023-07-31 21:08 - 000007603 _____ C:\Users\BTL\AppData\Local\resmon.resmoncfg
2023-07-30 18:29 - 2023-07-31 10:54 - 000000000 ____D C:\ProgramData\SecTaskMan
2023-07-30 14:53 - 2023-07-30 14:54 - 014567976 _____ C:\Users\BTL\Downloads\bitdefender_avfree.exe
2023-07-29 00:59 - 2023-07-29 03:22 - 000000269 _____ C:\Users\BTL\Desktop\dev place infra verkaufen.txt
2023-07-17 20:54 - 2023-07-17 20:54 - 000002483 _____ C:\Users\BTL\Documents\boh.txt
2023-07-17 20:25 - 2023-07-17 20:25 - 000000000 ____D C:\Users\BTL\AppData\Local\Nahimic
2023-07-17 12:32 - 2023-07-17 12:35 - 000000508 _____ C:\Users\BTL\Desktop\Froschi Rechner.txt
2023-07-16 19:27 - 2023-07-16 19:27 - 000000000 ____D C:\Windows\system32\Tasks\Mozilla
2023-07-15 04:44 - 2023-07-15 04:44 - 000000000 ____D C:\Users\BTL\Documents\Steam
2023-07-14 20:24 - 2023-08-02 23:26 - 000003112 _____ C:\Windows\system32\Tasks\NahimicTask32
2023-07-14 20:24 - 2023-08-02 23:26 - 000003092 _____ C:\Windows\system32\Tasks\NahimicTask64
2023-07-14 20:24 - 2023-07-14 20:24 - 000003152 _____ C:\Windows\system32\Tasks\NahimicSvc64Run
2023-07-14 20:24 - 2023-07-14 20:24 - 000003152 _____ C:\Windows\system32\Tasks\NahimicSvc32Run
2023-07-14 20:24 - 2023-07-14 20:24 - 000000000 ____D C:\ProgramData\Nahimic
2023-07-08 21:24 - 2023-07-08 21:24 - 000000000 ____D C:\Users\BTL\Documents\GEZ

==================== Ein Monat (geänderte) ==================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2023-08-02 23:30 - 2021-12-14 16:24 - 001713042 _____ C:\Windows\system32\PerfStringBackup.INI
2023-08-02 23:30 - 2019-12-07 16:51 - 000739414 _____ C:\Windows\system32\perfh007.dat
2023-08-02 23:30 - 2019-12-07 16:51 - 000149046 _____ C:\Windows\system32\perfc007.dat
2023-08-02 23:30 - 2019-12-07 11:13 - 000000000 ____D C:\Windows\INF
2023-08-02 23:28 - 2022-01-26 14:55 - 000000001 _____ C:\Windows\vgkbootstatus.dat
2023-08-02 23:26 - 2021-12-14 17:26 - 000000000 ____D C:\ProgramData\NVIDIA
2023-08-02 23:26 - 2021-12-14 16:19 - 000008192 ___SH C:\DumpStack.log.tmp
2023-08-02 23:26 - 2021-12-14 16:19 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2023-08-02 23:26 - 2019-12-07 11:14 - 000000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2023-08-02 23:25 - 2019-12-07 11:03 - 000524288 _____ C:\Windows\system32\config\BBI
2023-08-02 23:20 - 2021-12-16 20:52 - 000000000 ____D C:\Users\BTL\AppData\Roaming\discord
2023-08-02 23:09 - 2021-12-16 20:51 - 000000000 ____D C:\Users\BTL\AppData\Local\Discord
2023-08-02 15:06 - 2019-12-07 11:14 - 000000000 ___HD C:\Program Files\WindowsApps
2023-08-02 15:06 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\AppReadiness
2023-08-02 13:12 - 2021-12-14 16:55 - 000000000 ____D C:\Users\BTL\AppData\Local\PlaceholderTileLogoFolder
2023-08-02 11:38 - 2019-12-07 11:14 - 000000000 ___HD C:\Windows\ELAMBKUP
2023-08-01 21:18 - 2021-12-14 16:36 - 000000000 ___HD C:\Program Files (x86)\InstallShield Installation Information
2023-08-01 19:03 - 2021-12-14 16:19 - 000000000 ____D C:\Windows\system32\SleepStudy
2023-08-01 18:08 - 2021-12-14 20:22 - 000000000 ____D C:\Users\BTL\AppData\Local\D3DSCache
2023-08-01 13:32 - 2019-12-07 11:03 - 000000000 ____D C:\Windows\CbsTemp
2023-08-01 03:50 - 2021-12-14 16:22 - 000000000 ____D C:\Users\BTL
2023-08-01 03:00 - 2021-12-14 16:35 - 000000000 ____D C:\ProgramData\Package Cache
2023-07-31 21:14 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\Registration
2023-07-31 19:54 - 2023-03-30 14:30 - 000000000 ____D C:\Windows\Minidump
2023-07-31 19:38 - 2021-12-14 16:26 - 000000000 ____D C:\Users\BTL\AppData\Local\Packages
2023-07-31 19:34 - 2022-03-09 18:27 - 000000000 ____D C:\Program Files\Common Files\Adobe
2023-07-31 19:34 - 2022-01-28 12:13 - 000000000 ____D C:\Users\BTL\AppData\Roaming\Chime
2023-07-31 18:45 - 2019-12-07 16:54 - 000000000 ____D C:\Program Files\Windows Defender Advanced Threat Protection
2023-07-31 18:45 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\SysWOW64\WinMetadata
2023-07-31 18:45 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\SystemResources
2023-07-31 18:45 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\WinMetadata
2023-07-31 18:45 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\migwiz
2023-07-31 18:45 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\appraiser
2023-07-31 18:45 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\bcastdvr
2023-07-31 18:45 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\appcompat
2023-07-31 18:14 - 2021-12-30 20:32 - 000000000 ____D C:\Windows\SystemTemp
2023-07-31 18:14 - 2021-12-14 16:19 - 000002436 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk
2023-07-31 18:14 - 2021-12-14 16:19 - 000002274 _____ C:\Users\Public\Desktop\Microsoft Edge.lnk
2023-07-31 18:13 - 2019-12-07 11:14 - 000000000 ___RD C:\Windows\ImmersiveControlPanel
2023-07-31 18:13 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\SysWOW64\setup
2023-07-31 18:13 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\setup
2023-07-31 18:13 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\SecureBootUpdates
2023-07-31 18:13 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\oobe
2023-07-31 11:25 - 2022-09-15 22:52 - 000000000 ____D C:\Program Files (x86)\Gpg4win
2023-07-31 11:25 - 2022-09-15 22:52 - 000000000 ____D C:\Program Files (x86)\GnuPG
2023-07-31 01:28 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\NDF
2023-07-31 01:07 - 2019-12-07 11:14 - 000000000 ____D C:\PerfLogs
2023-07-31 00:41 - 2023-03-30 15:36 - 000000000 ____D C:\Users\BTL\AppData\Local\CrashDumps
2023-07-30 19:08 - 2021-12-14 18:50 - 000000000 ____D C:\Users\BTL\AppData\Roaming\Microsoft\MMC
2023-07-30 14:42 - 2021-12-14 16:40 - 000000000 ____D C:\ProgramData\A-Volute
2023-07-27 21:01 - 2021-12-15 11:50 - 000918960 ____N (Microsoft Corporation) C:\Windows\system32\MpSigStub.exe
2023-07-25 03:47 - 2021-12-14 16:19 - 000000000 ____D C:\Windows\system32\Drivers\wd
2023-07-21 10:15 - 2022-09-15 17:41 - 000000000 ____D C:\Users\BTL\AppData\LocalLow\Mozilla
2023-07-17 02:10 - 2022-02-11 19:09 - 000000000 ____D C:\Program Files\FACEIT AC
2023-07-16 19:30 - 2022-10-22 18:26 - 000000000 ____D C:\Users\BTL\AppData\Local\i2p
2023-07-16 19:30 - 2022-10-22 18:26 - 000000000 ____D C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38
2023-07-14 20:21 - 2021-12-14 16:26 - 000000000 ____D C:\Users\BTL\AppData\Local\Publishers
2023-07-14 18:50 - 2023-04-19 07:49 - 000000452 _____ C:\Users\BTL\Desktop\xhair.txt
2023-07-13 01:15 - 2021-12-16 19:54 - 000000000 ____D C:\Windows\system32\MRT
2023-07-13 01:14 - 2021-12-16 19:54 - 173351160 ____C (Microsoft Corporation) C:\Windows\system32\MRT.exe
2023-07-11 08:49 - 2021-12-14 16:19 - 000003756 _____ C:\Windows\system32\Tasks\MicrosoftEdgeUpdateTaskMachineUA
2023-07-11 08:49 - 2021-12-14 16:19 - 000003632 _____ C:\Windows\system32\Tasks\MicrosoftEdgeUpdateTaskMachineCore

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse ========

2023-07-31 01:05 - 2023-07-31 21:08 - 000007603 _____ () C:\Users\BTL\AppData\Local\resmon.resmoncfg

==================== SigCheck ============================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

==================== Ende von FRST.txt ========================
         
Addition.txt
Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 01-08-2023
durchgeführt von BTL (02-08-2023 23:55:45)
Gestartet von C:\Users\BTL\Downloads
Microsoft Windows 10 Pro Version 22H2 19045.3271 (X64) (2021-12-14 14:20:46)
Start-Modus: Normal
==========================================================


==================== Konten: =============================


(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

Administrator (S-1-5-21-1761826180-2724818943-2495402748-500 - Administrator - Disabled)
BTL (S-1-5-21-1761826180-2724818943-2495402748-1001 - Administrator - Enabled) => C:\Users\BTL
DefaultAccount (S-1-5-21-1761826180-2724818943-2495402748-503 - Limited - Disabled)
Gast (S-1-5-21-1761826180-2724818943-2495402748-501 - Limited - Disabled)
WDAGUtilityAccount (S-1-5-21-1761826180-2724818943-2495402748-504 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

AMD Chipset Software (HKLM-x32\...\AMD_Chipset_IODrivers) (Version: 2.11.26.106 - Advanced Micro Devices, Inc.)
AMD GPIO2 Driver (HKLM-x32\...\{E9DD399F-21A3-479E-A7DF-D6CF4B2ADBF3}) (Version: 2.2.0.130 - Advanced Micro Devices, Inc.) Hidden
AMD PCI Driver (HKLM-x32\...\{80EC3CEE-2940-42A1-A776-B5D810D39F1E}) (Version: 1.0.0.81 - Advanced Micro Devices, Inc.) Hidden
AMD Ryzen Balanced Driver (HKLM-x32\...\{A171D320-C42C-4F3B-A2D8-C6A09F6788CC}) (Version: 6.0.0.9 - Advanced Micro Devices, Inc.) Hidden
AMD SBxxx SMBus Driver Alpha (HKLM-x32\...\{AAE0E27D-C88A-49BA-8715-77ADCD4286A3}) (Version: 5.12.0.38 - Advanced Micro Devices, Inc.) Hidden
AMD_Chipset_Drivers (HKLM-x32\...\{ac726f18-c961-4fa1-a46d-6f0c644cd12b}) (Version: 2.11.26.106 - Advanced Micro Devices, Inc.) Hidden
ArcheRage.to (HKLM-x32\...\{B05F81C0-5BFB-45F0-B8FA-AF1F999BCFFE}) (Version: 5.5.0 - ArcheRage.to Private Server)
Battle.net (HKLM-x32\...\Battle.net) (Version:  - Blizzard Entertainment)
Battlestate Games Launcher 12.11.1.1846 (HKLM-x32\...\{B0FDA062-7581-4D67-B085-C4E7C358037F}_is1) (Version: 12.11.1.1846 - Battlestate Games)
Discord (HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\Discord) (Version: 1.0.9003 - Discord Inc.)
FACEIT Anti-Cheat (HKLM\...\{1419E44C-0EF4-4822-9194-9F1A4D43973D}_is1) (Version: 2.0 - FACEIT LTD)
Grand Theft Auto V (HKLM-x32\...\{5EFC6C07-6B87-43FC-9524-F9E967241741}) (Version: 1.0.2545.0 - Rockstar Games)
HP Deskjet 2510 series - Grundlegende Software für das Gerät (HKLM\...\{F813E17D-D976-4810-BF9D-6A3BDE68DBA8}) (Version: 28.1.1320.0 - Hewlett-Packard Co.)
HP Deskjet 2510 series Setup Guide (HKLM-x32\...\{216C7F38-4BBC-4E9A-8392-C9FA21B54386}) (Version: 27.0.0 - Hewlett Packard)
League of Legends (HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\Riot Game league_of_legends.live) (Version:  - Riot Games, Inc)
LibreOffice 7.3.0.3 (HKLM\...\{8113FFA7-4CB7-4855-A319-1DB2A7FB9733}) (Version: 7.3.0.3 - The Document Foundation)
Malwarebytes version 4.5.34.275 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 4.5.34.275 - Malwarebytes)
Microsoft Edge (HKLM-x32\...\Microsoft Edge) (Version: 115.0.1901.188 - Microsoft Corporation)
Microsoft Edge WebView2-Laufzeit (HKLM-x32\...\Microsoft EdgeWebView) (Version: 115.0.1901.188 - Microsoft Corporation)
Microsoft Update Health Tools (HKLM\...\{BB052C53-34CB-42DE-AF41-66FDFCEEC868}) (Version: 3.72.0.0 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 (HKLM-x32\...\{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}) (Version: 11.0.61030.0 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030 (HKLM-x32\...\{33d1fd90-4274-48a1-9bc1-97e33d9c2d6f}) (Version: 11.0.61030.0 - Microsoft Corporation)
Microsoft Visual C++ 2012 x64 Additional Runtime - 11.0.61030 (HKLM\...\{37B8F9C7-03FB-3253-8781-2517C99D7C00}) (Version: 11.0.61030 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2012 x64 Minimum Runtime - 11.0.61030 (HKLM\...\{CF2BEA3C-26EA-32F8-AA9B-331F7E34BA97}) (Version: 11.0.61030 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2012 x86 Additional Runtime - 11.0.61030 (HKLM-x32\...\{B175520C-86A2-35A7-8619-86DC379688B9}) (Version: 11.0.61030 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2012 x86 Minimum Runtime - 11.0.61030 (HKLM-x32\...\{BD95A8CD-1D9F-35AD-981A-3E7925026EBB}) (Version: 11.0.61030 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 (HKLM-x32\...\{050d4fc8-5d48-4b8f-8972-47c82c46020f}) (Version: 12.0.30501.0 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501 (HKLM-x32\...\{f65db027-aff3-4070-886a-0d87064aabb1}) (Version: 12.0.30501.0 - Microsoft Corporation)
Microsoft Visual C++ 2013 x64 Additional Runtime - 12.0.21005 (HKLM\...\{929FBD26-9020-399B-9A7A-751D61F0B942}) (Version: 12.0.21005 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2013 x64 Minimum Runtime - 12.0.21005 (HKLM\...\{A749D8E6-B613-3BE3-8F5F-045C84EBA29B}) (Version: 12.0.21005 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2013 x86 Additional Runtime - 12.0.21005 (HKLM-x32\...\{F8CFEB22-A2E7-3971-9EDA-4B11EDEFC185}) (Version: 12.0.21005 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2013 x86 Minimum Runtime - 12.0.21005 (HKLM-x32\...\{13A4EE12-23EA-3371-91EE-EFB36DDFFF3E}) (Version: 12.0.21005 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2015-2019 Redistributable (x86) - 14.28.29334 (HKLM-x32\...\{b2d0f752-adc5-496e-8f70-8669de01f746}) (Version: 14.28.29334.0 - Microsoft Corporation)
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31332 (HKLM-x32\...\{3746f21b-c990-4045-bb33-1cf98cff7a68}) (Version: 14.32.31332.0 - Microsoft Corporation)
Microsoft Visual C++ 2019 X86 Additional Runtime - 14.28.29334 (HKLM-x32\...\{14C49FC8-3E9B-4F29-8526-26629B5CF30B}) (Version: 14.28.29334 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2019 X86 Minimum Runtime - 14.28.29334 (HKLM-x32\...\{0D01A812-82A1-481F-8546-8E28E976F8DF}) (Version: 14.28.29334 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2022 X64 Additional Runtime - 14.32.31332 (HKLM\...\{F4499EE3-A166-496C-81BB-51D1BCDC70A9}) (Version: 14.32.31332 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2022 X64 Minimum Runtime - 14.32.31332 (HKLM\...\{3407B900-37F5-4CC2-B612-5CD5D580A163}) (Version: 14.32.31332 - Microsoft Corporation) Hidden
Mozilla Firefox (x64 en-US) (HKLM\...\Mozilla Firefox 111.0.1 (x64 en-US)) (Version: 111.0.1 - Mozilla)
MSIRegister (HKLM-x32\...\{80B995A4-3A86-4690-98A6-563F1A788835}_is1) (Version: 2.0.0.22 - MSI)
NVIDIA Grafiktreiber 531.79 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 531.79 - NVIDIA Corporation)
NVIDIA PhysX-Systemsoftware 9.21.0713 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX) (Version: 9.21.0713 - NVIDIA Corporation)
PDF24 Creator 10.8.0 (HKLM\...\{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1) (Version: 10.8.0 - PDF24.org)
PokerStars.eu (HKLM-x32\...\PokerStars.eu) (Version:  - PokerStars.eu)
Realtek Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.9084.1 - Realtek Semiconductor Corp.)
Realtek Ethernet Controller Driver (HKLM-x32\...\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}) (Version: 10.45.928.2020 - Realtek)
Riot Vanguard (HKLM\...\Riot Vanguard) (Version:  - Riot Games, Inc.)
Rockstar Games Launcher (HKLM\...\Rockstar Games Launcher) (Version: 1.0.53.576 - Rockstar Games)
Rockstar Games Launcher (HKLM-x32\...\Rockstar Games Launcher) (Version: 1.0.53.576 - Rockstar Games)
Rockstar Games Social Club (HKLM-x32\...\Rockstar Games Social Club) (Version: 2.0.9.3 - Rockstar Games)
Steam (HKLM-x32\...\Steam) (Version: 2.10.91.91 - Valve Corporation)
Update for Windows 10 for x64-based Systems (KB5001716) (HKLM\...\{C270D21B-2327-49B8-85F7-395133A93C75}) (Version: 8.92.0.0 - Microsoft Corporation)
VALORANT (HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\Riot Game valorant.live) (Version:  - Riot Games, Inc)
Warcraft III (HKLM-x32\...\Warcraft III) (Version:  - Blizzard Entertainment)
Windows-PC-Integritätsprüfung (HKLM\...\{B3956CF3-F6C5-4567-AC38-1FD4432B319C}) (Version: 3.6.2204.08001 - Microsoft Corporation)
WOW 8.14.0.0 (HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\com.bskyb.wowtv_is1) (Version: 8.14.0.0 - WOW)
Zoom (HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\ZoomUMX) (Version: 5.9.3 (3169) - Zoom Video Communications, Inc.)

Packages:
=========
Nahimic -> C:\Program Files\WindowsApps\A-Volute.Nahimic_1.9.20.0_x64__w2gh52qy24etm [2023-07-27] (A-Volute)
NVIDIA Control Panel -> C:\Program Files\WindowsApps\NVIDIACorp.NVIDIAControlPanel_8.1.964.0_x64__56jybvy8sckqj [2023-03-10] (NVIDIA Corp.)
Realtek Audio Control -> C:\Program Files\WindowsApps\RealtekSemiconductorCorp.RealtekAudioControl_1.38.277.0_x64__dt26b99r8h8gj [2023-03-31] (Realtek Semiconductor Corp)
Solitaire & Casual Games -> C:\Program Files\WindowsApps\Microsoft.MicrosoftSolitaireCollection_4.16.3140.0_x64__8wekyb3d8bbwe [2023-03-19] (Microsoft Studios) [MS Ad]

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

CustomCLSID: HKU\S-1-5-21-1761826180-2724818943-2495402748-1001_Classes\CLSID\{80172dde-4e20-4df0-81a2-0a48553e80bb}\localserver32 -> C:\Users\BTL\AppData\Local\NhNotifSys\nahimic\nahimicNotifSys.exe (A-Volute SAS -> A-Volute)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2023-08-02] (Malwarebytes Inc. -> Malwarebytes)
ContextMenuHandlers5: [NvCplDesktopContext] -> {3D1975AF-48C6-4f8e-A182-BE0E08FA86A9} => C:\Windows\System32\DriverStore\FileRepository\nv_dispig.inf_amd64_19f3764f95906f94\nvshext.dll [2023-05-17] (NVIDIA Corporation -> NVIDIA Corporation)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2023-08-02] (Malwarebytes Inc. -> Malwarebytes)

==================== Codecs (Nicht auf der Ausnahmeliste) ====================

==================== Verknüpfungen & WMI ========================

==================== Geladene Module (Nicht auf der Ausnahmeliste) =============

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) ========

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ==================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) =================

==================== Internet Explorer (Nicht auf der Ausnahmeliste) ==========

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 

==================== Hosts Inhalt: =========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2019-12-07 11:14 - 2023-08-02 23:22 - 000000027 _____ C:\Windows\system32\drivers\etc\hosts
127.0.0.1       localhost

==================== Andere Bereiche ===========================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\Control Panel\Desktop\\Wallpaper -> G:\80\Bilder\schwarz1.jpg
DNS Servers: 8.8.8.8
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost => (EnableWebContentEvaluation: 1)
 ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

MSCONFIG\Services: AdobeARMservice => 2
MSCONFIG\Services: EasyAntiCheat => 3
MSCONFIG\Services: EasyAntiCheat_EOS => 3
MSCONFIG\Services: EQU8_36 => 3
MSCONFIG\Services: GoogleChromeElevationService => 3
MSCONFIG\Services: gupdate => 2
MSCONFIG\Services: gupdatem => 3
MSCONFIG\Services: MSIREGISTER_MR => 2
MSCONFIG\Services: PDF24 => 2
MSCONFIG\Services: Rockstar Service => 3
MSCONFIG\Services: vgc => 3
HKLM\...\StartupApproved\Run: => "Riot Vanguard"
HKLM\...\StartupApproved\Run: => "PDF24"
HKLM\...\StartupApproved\Run32: => "MSIRegister"
HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\StartupApproved\StartupFolder: => "Tintenwarnungen überwachen - HP Deskjet 2510 series.lnk"
HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\StartupApproved\Run: => "OneDrive"
HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\StartupApproved\Run: => "Discord"
HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\StartupApproved\Run: => "MicrosoftEdgeAutoLaunch_B595B0895D5CA7030B307379B3214B6C"
HKU\S-1-5-21-1761826180-2724818943-2495402748-1001\...\StartupApproved\Run: => "LGHUB"

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Wiederherstellungspunkte =========================

02-08-2023 23:20:49 Restore Point Created by FRST

==================== Fehlerhafte Geräte im Gerätemanager ============

Name: NVIDIA High Definition Audio
Description: NVIDIA High Definition Audio
Class Guid: {4d36e96c-e325-11ce-bfc1-08002be10318}
Manufacturer: NVIDIA
Service: NVHDA
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Intel(R) Wireless Bluetooth(R)
Description: Intel(R) Wireless Bluetooth(R)
Class Guid: {e0cbf06c-cd8b-4647-bb8a-263b43f0f974}
Manufacturer: Intel Corporation
Service: BTHUSB
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Nahimic mirroring device
Description: Nahimic mirroring device
Class Guid: {4d36e96c-e325-11ce-bfc1-08002be10318}
Manufacturer: Nahimic
Service: Nahimic_Mirroring
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Fehlereinträge in der Ereignisanzeige: ========================

Applikationsfehler:
==================
Error: (08/02/2023 11:26:17 PM) (Source: CertEnroll) (EventID: 86) (User: NT-AUTORITÄT)
Description: Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für WORKGROUP\DESKTOP-IAT217H$ über https://AMD-KeyId-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net/templates/Aik/scep:

GetCACaps
GetCACaps: Not Found
{"Message":"The authority \"amd-keyid-907d65e9b562315997dd5ad086b2b7598957b92c.microsoftaik.azure.net\" does not exist."}
HTTP/1.1 404 Not Found
Date: Wed, 02 Aug 2023 21:26:16 GMT
Content-Length: 121
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000;includeSubDomains
x-ms-request-id: 78834750-791d-4eab-bd5e-520b3e0b1559

Methode: GET(234ms)
Phase: GetCACaps
Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)

Error: (08/02/2023 11:20:49 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.


Vorgang:
   Generatordaten werden gesammelt

Kontext:
   Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
   Generatorname: System Writer
   Generatorinstanz-ID: {73aea669-97f6-43fc-8346-345400b79998}

Error: (08/02/2023 09:45:26 PM) (Source: Microsoft-Windows-Defrag) (EventID: 264) (User: )
Description: Die Speicheroptimierung konnte erneut optimieren auf (I:) nicht abschließen. Grund: Der angeforderte Vorgang wird von der Hardware des Volumes nicht unterstützt. (0x8900002A)

Error: (08/02/2023 09:45:20 PM) (Source: Microsoft-Windows-Defrag) (EventID: 264) (User: )
Description: Die Speicheroptimierung konnte erneut optimieren auf (H:) nicht abschließen. Grund: Der angeforderte Vorgang wird von der Hardware des Volumes nicht unterstützt. (0x8900002A)

Error: (08/02/2023 09:45:19 PM) (Source: Microsoft-Windows-Defrag) (EventID: 264) (User: )
Description: Die Speicheroptimierung konnte erneut optimieren auf (G:) nicht abschließen. Grund: Der angeforderte Vorgang wird von der Hardware des Volumes nicht unterstützt. (0x8900002A)

Error: (08/02/2023 09:44:59 PM) (Source: Microsoft-Windows-Defrag) (EventID: 264) (User: )
Description: Die Speicheroptimierung konnte erneut optimieren auf Volume (F:) nicht abschließen. Grund: Der angeforderte Vorgang wird von der Hardware des Volumes nicht unterstützt. (0x8900002A)

Error: (08/02/2023 09:44:54 PM) (Source: Microsoft-Windows-Defrag) (EventID: 264) (User: )
Description: Die Speicheroptimierung konnte erneut optimieren auf (E:) nicht abschließen. Grund: Der angeforderte Vorgang wird von der Hardware des Volumes nicht unterstützt. (0x8900002A)

Error: (08/02/2023 08:16:38 PM) (Source: Microsoft-Windows-Defrag) (EventID: 264) (User: )
Description: Die Speicheroptimierung konnte erneut optimieren auf (E:) nicht abschließen. Grund: Der angeforderte Vorgang wird von der Hardware des Volumes nicht unterstützt. (0x8900002A)


Systemfehler:
=============
Error: (08/02/2023 11:26:11 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "NcaSvc" ist vom Dienst "iphlpsvc" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

Error: (08/02/2023 11:25:58 PM) (Source: Microsoft-Windows-Ntfs) (EventID: 98) (User: NT-AUTORITÄT)
Description: C:\Device\HarddiskVolume83

Error: (08/02/2023 11:20:54 PM) (Source: Microsoft-Windows-Ntfs) (EventID: 98) (User: NT-AUTORITÄT)
Description: ??\Device\HarddiskVolumeShadowCopy23

Error: (08/02/2023 11:20:54 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Search" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (08/02/2023 11:20:54 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Realtek Audio Universal Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (08/02/2023 11:20:54 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Nahimic service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 3000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (08/02/2023 11:20:54 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "NVIDIA Display Container LS" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 6000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (08/02/2023 06:42:30 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "NcaSvc" ist vom Dienst "iphlpsvc" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.


Windows Defender:
================
Date: 2023-08-02 16:06:47
Description: 
Die Microsoft Defender Antivirus-Überprüfung wurde vor ihrem Abschluss beendet.
Überprüfungs-ID: {4F6D5CD0-C3C6-489B-9093-6F39C080A8F9}
Überprüfungstyp: Antimalware
Überprüfungsparameter: Benutzerdefinierte Überprüfung
Benutzer: DESKTOP-IAT217H\BTL

Date: 2023-08-02 13:59:42
Description: 
C:\Windows\System32\notepad.exe wurde durch den überwachten Ordnerzugriff daran gehindert, %userprofile%\Pictures\r placeDE\memes\Flarson\ zu ändern.
Erkennungszeit: 2023-08-02T11:59:42.133Z
Benutzer: DESKTOP-IAT217H\BTL
Pfad: %userprofile%\Pictures\r placeDE\memes\Flarson\
Prozessname: C:\Windows\System32\notepad.exe
Sicherheitsversion: 1.393.2059.0
Modulversion: 1.1.23060.1005
Produktversion: 4.18.23050.9

Date: 2023-08-02 13:59:36
Description: 
C:\Windows\System32\notepad.exe wurde durch den überwachten Ordnerzugriff daran gehindert, %userprofile%\Pictures\r placeDE\memes\Flarson\ zu ändern.
Erkennungszeit: 2023-08-02T11:59:36.628Z
Benutzer: DESKTOP-IAT217H\BTL
Pfad: %userprofile%\Pictures\r placeDE\memes\Flarson\
Prozessname: C:\Windows\System32\notepad.exe
Sicherheitsversion: 1.393.2059.0
Modulversion: 1.1.23060.1005
Produktversion: 4.18.23050.9

Date: 2023-08-02 13:57:58
Description: 
C:\Users\BTL\Pictures\r placeDE\memes\Flarson\FRST64.exe wurde durch den überwachten Ordnerzugriff daran gehindert, %userprofile%\Pictures\r placeDE\memes\Flarson\ zu ändern.
Erkennungszeit: 2023-08-02T11:57:58.314Z
Benutzer: DESKTOP-IAT217H\BTL
Pfad: %userprofile%\Pictures\r placeDE\memes\Flarson\
Prozessname: C:\Users\BTL\Pictures\r placeDE\memes\Flarson\FRST64.exe
Sicherheitsversion: 1.393.2059.0
Modulversion: 1.1.23060.1005
Produktversion: 4.18.23050.9

Date: 2023-08-02 11:18:36
Description: 
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=PUA:Win64/CoinMiner&threatid=238862&enterprise=0
Name: PUA:Win64/CoinMiner
Schweregrad: Niedrig
Kategorie: Potenziell unerwünschte Software
Pfad: containerfile:_C:\Users\BTL\Downloads\monero-gui-win-x64-v0.18.1.2.zip; containerfile:_F:\Programs\monero-gui-win-x64-v0.18.1.2.zip; file:_C:\Users\BTL\Downloads\monero-gui-win-x64-v0.18.1.2.zip->monero-gui-v0.18.1.2/extras/monero-blockchain-import.exe; file:_C:\Users\BTL\Downloads\monero-gui-win-x64-v0.18.1.2.zip->monero-gui-v0.18.1.2/extras/monero-wallet-rpc.exe; file:_F:\Programs\monero-gui-win-x64-v0.18.1.2.zip->monero-gui-v0.18.1.2/extras/monero-blockchain-import.exe; file:_F:\Programs\monero-gui-win-x64-v0.18.1.2.zip->monero-gui-v0.18.1.2/extras/monero-wallet-rpc.exe; file:_F:\Programs\monero-gui-win-x64-v0.18.1.2\monero-gui-v0.18.1.2\extras\monero-blockchain-import.exe; file:_F:\Programs\monero-gui-win-x64-v0.18.1.2\monero-gui-v0.18.1.2\extras\monero-wallet-rpc.exe
Erkennungsursprung: Lokaler Computer
Erkennungstype: FastPath
Erkennungsquelle: Benutzer
Benutzer: DESKTOP-IAT217H\BTL
Prozessname: Unknown
Sicherheitsversion: AV: 1.393.2046.0, AS: 1.393.2046.0, NIS: 1.393.2046.0
Modulversion: AM: 1.1.23060.1005, NIS: 1.1.23060.1005
Event[0]:

Date: 2023-06-29 12:26:53
Description: 
Bei Microsoft Defender Antivirus ist ein Fehler beim Aktualisieren der Sicherheitsinformationen aufgetreten.
Neue Version der Sicherheitsinformationen: 
%Vorherige Version der Sicherheitsinformationen: 1.391.2994.0
Update Source: Microsoft Update-Server
Sicherheitstyp: AntiVirus
Updatetyp: Voll
Benutzer: NT-AUTORITÄT\SYSTEM
Aktuelle Modulversion: 
%Vorherige Modulversion: 1.1.23050.3
Fehlercode: 0x80080005
Fehlerbeschreibung: Starten des Servers fehlgeschlagen 

CodeIntegrity:
===============
Date: 2023-07-24 19:17:56
Description: 
Windows is unable to verify the image integrity of the file \Device\HarddiskVolume8\Program Files\Malwarebytes\Anti-Malware\MBAMWsc.exe because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

Date: 2023-07-14 20:29:43
Description: 
Code Integrity determined that a process (\Device\HarddiskVolume8\Program Files (x86)\Microsoft\EdgeWebView\Application\114.0.1823.79\msedgewebview2.exe) attempted to load \Device\HarddiskVolume8\ProgramData\A-Volute\A-Volute.Nahimic\Modules\Scheduled\x64\AudioDevProps2.dll that did not meet the Microsoft signing level requirements.

Date: 2023-03-30 15:36:44
Description: 
Windows is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files\Microvirt\MEmuHyperv\MEmuNetLwf.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

Date: 2023-03-30 15:36:44
Description: 
Windows is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files\Microvirt\MEmuHyperv\netflt\MEmuNetFlt.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

Date: 2023-03-30 15:36:44
Description: 
Windows is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files\Microvirt\MEmuHyperv\MEmuNetFlt.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.


==================== Speicherinformationen =========================== 

BIOS: American Megatrends International, LLC. 1.G3 09/26/2021
Hauptplatine: Micro-Star International Co., Ltd. MPG X570 GAMING EDGE WIFI (MS-7C37)
Prozessor: AMD Ryzen 7 5800X 8-Core Processor 
Prozentuale Nutzung des RAM: 12%
Installierter physikalischer RAM: 32689.71 MB
Verfügbarer physikalischer RAM: 28500.19 MB
Summe virtueller Speicher: 37553.71 MB
Verfügbarer virtueller Speicher: 31792.91 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:111.16 GB) (Free:38.25 GB) (Model: Intenso SSD) NTFS
Drive d: (Volume) (Fixed) (Total:476.94 GB) (Free:141.69 GB) (Model: Samsung SSD 840 PRO Series) NTFS
Drive e: () (Fixed) (Total:31.41 GB) (Free:31.08 GB) (Model: WDC WD5000AAKS-00V1A0) NTFS
Drive f: (Volume) (Fixed) (Total:849.48 GB) (Free:150.09 GB) (Model: ST1000LM048-2E7172) NTFS
Drive g: () (Fixed) (Total:298.09 GB) (Free:48.79 GB) (Model: WDC WD3200BEVT-00ZCT0) NTFS
Drive h: () (Fixed) (Total:217.12 GB) (Free:143.38 GB) (Model: WDC WD5000AAKS-00V1A0) NTFS
Drive i: () (Fixed) (Total:217.12 GB) (Free:8.51 GB) (Model: WDC WD5000AAKS-00V1A0) NTFS
Drive j: (Audio CD) (CDROM) (Total:0 GB) (Free:0 GB) CDFS

\\?\Volume{05293ca0-27d2-45d5-8913-d9c66b53a14d}\ () (Fixed) (Total:0.51 GB) (Free:0.08 GB) NTFS
\\?\Volume{4a4b4a22-7612-4f01-9b48-1fd1e40778a0}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

==================== MBR & Partitionstabelle ====================

==========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 476.9 GB) (Disk ID: 99C1899F)
Partition 1: (Not Active) - (Size=476.9 GB) - (Type=07 NTFS)

==========================================================
Disk: 1 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: D902E285)
Partition 1: (Not Active) - (Size=31.4 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=217.1 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=217.1 GB) - (Type=07 NTFS)

==========================================================
Disk: 2 (MBR Code: Windows 7/8/10) (Size: 931.5 GB) (Disk ID: 590075DD)
Partition 1: (Not Active) - (Size=849.5 GB) - (Type=07 NTFS)

==========================================================
Disk: 3 (Protective MBR) (Size: 111.8 GB) (Disk ID: 00000000)

Partition: GPT.

==========================================================
Disk: 4 (Size: 298.1 GB) (Disk ID: 90909090)
Partition 1: (Not Active) - (Size=298.1 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt =======================
         

In den Einstellungen zum Exploit-Schutz fuer den Defender sieht das bei mir unter dem Punkt Programmeinstellungen so aus, ist das so korrekt?
Code:
ATTFilter
<SystemConfig>
<Fonts DisableNonSystemFonts="true" AuditOnly="false"/>
</SystemConfig>
<AppConfig Executable="ExtExport.exe">
<ASLR ForceRelocateImages="true" RequireInfo="false"/>
</AppConfig>
<AppConfig Executable="ie4uinit.exe">
<ASLR ForceRelocateImages="true" RequireInfo="false"/>
</AppConfig>
<AppConfig Executable="ieinstal.exe">
<ASLR ForceRelocateImages="true" RequireInfo="false"/>
</AppConfig>
<AppConfig Executable="ielowutil.exe">
<ASLR ForceRelocateImages="true" RequireInfo="false"/>
</AppConfig>
<AppConfig Executable="ieUnatt.exe">
<ASLR ForceRelocateImages="true" RequireInfo="false"/>
</AppConfig>
<AppConfig Executable="mscorsvw.exe">
<ExtensionPoints DisableExtensionPoints="true"/>
</AppConfig>
<AppConfig Executable="msfeedssync.exe">
<ASLR ForceRelocateImages="true" RequireInfo="false"/>
</AppConfig>
<AppConfig Executable="mshta.exe">
<ASLR ForceRelocateImages="true" RequireInfo="false"/>
</AppConfig>
<AppConfig Executable="MsSense.exe">
<StrictHandle Enable="true"/>
<SEHOP Enable="true" TelemetryOnly="false"/>
</AppConfig>
<AppConfig Executable="ngen.exe">
<ExtensionPoints DisableExtensionPoints="true"/>
</AppConfig>
<AppConfig Executable="ngentask.exe">
<ExtensionPoints DisableExtensionPoints="true"/>
</AppConfig>
<AppConfig Executable="PresentationHost.exe">
<DEP Enable="true" EmulateAtlThunks="false"/>
<ASLR ForceRelocateImages="true" RequireInfo="false" BottomUp="true" HighEntropy="true"/>
<SEHOP Enable="true" TelemetryOnly="false"/>
<Heap TerminateOnError="true"/>
</AppConfig>
<AppConfig Executable="PrintDialog.exe">
<ExtensionPoints DisableExtensionPoints="true"/>
</AppConfig>
<AppConfig Executable="runtimebroker.exe">
<ExtensionPoints DisableExtensionPoints="true"/>
</AppConfig>
<AppConfig Executable="SystemSettings.exe">
<ExtensionPoints DisableExtensionPoints="true"/>
</AppConfig>
</MitigationPolicy>
         
p.s.: Google Chrome hatte ich eigtl deinstalliert, hatte ich vergessen zu erwaehnen :-/
Hab nach dem Fix 9 Richtlinien fuer Sicherheitsprotokolle weniger, mal gucken ob ich das Beduerfnis habe, die wieder anzuschalten, fuers erste begnuege ich mich mit der Zuverlaessigkeitsueberwachung wenn ich das Gefuehl habe, dass wieder alles tutti ist Discord hatte ich uebrigens noch nicht neu installiert, haette ich das vorher machen sollen? Habs glatt vergessen. Aber schon interessant, was man im Eventlog alles findet, z.B., dass der Biometriedienst ab und an auf das Mikrophon zugreift (auch wenn Cortana deaktiviert ist), fand ich interessant.


Geändert von xool (03.08.2023 um 00:19 Uhr)

Alt 03.08.2023, 08:11   #6
M-K-D-B
/// TB-Ausbilder
 
Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord - Standard

Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord



Für mich sehen die Logateien gut aus.


Lass mal noch kurz SC bitte laufen.

Das mit Discord kannst du ja jetzt nachholen.



Schritt 1
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und füge die Logdatei als Anhang hinzu.

Alt 03.08.2023, 17:20   #7
xool
 
Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord - Standard

Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord



Yo, muss aber noch durch den TaskScheduler gucken, es war jetzt z.B. eine regelmaessige Defragmentierung vorgesehen, die ich deaktiviert habe. Dazu laed jetzt kurz vor dem Login-Bildschirm immer noch was, das war vor der Erkennung nicht.

Danke nochmal.

Code:
ATTFilter
SecurityCheck by glax24 & Severnyj v.1.4.0.54 [06.12.21]
WebSite: www.safezone.cc
DateLog: 03.08.2023 18:11:59
Path starting: C:\Users\BTL\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: BTL
VersionXML: 10.62is-08.07.2023
___________________________________________________________________________

Windows 10(6.3.19045) (x64) Professional Release: 2009 Lang: German(0407)
Installation date OS: 14.12.2021 14:20:46
LicenseStatus: Windows(R), Professional edition The machine is permanently activated.
Boot Mode: Normal
Default Browser: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
SystemDrive: C: FS: [NTFS] Capacity: [111.2 Gb] Used: [73.3 Gb] Free: [37.9 Gb]
------------------------------- [ Windows ] -------------------------------
User Account Control enabled (Level 3)
Sicherheitscenter (wscsvc) - The service is running
Remoteregistrierung (RemoteRegistry) - The service has stopped
SSDP-Suche (SSDPSRV) - The service has stopped
Remotedesktopdienste (TermService) - The service has stopped
Windows-Remoteverwaltung (WS-Verwaltung) (WinRM) - The service has stopped
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (enabled and up to date)
--------------------------- [ FirewallWindows ] ---------------------------
Windows Defender Firewall (mpssvc) - The service is running
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.5.34.275 v.4.5.34.275 [+]
--------------------------- [ OtherUtilities ] ----------------------------
LibreOffice 7.3.0.3 v.7.3.0.3 Warning! Download Update
Steam v.2.10.91.91
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Warning! Download Update
Zoom v.5.9.3 (3169) Warning! Download Update
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 en-US) v.111.0.1 Warning! Download Update
Microsoft Edge v.115.0.1901.188 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
Malwarebytes Service (MBAMService) - The service has stopped
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\MsMpEng.exe v.4.18.23050.9
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.9-0\NisSrv.exe v.4.18.23050.9
Microsoft Defender Antivirus-Dienst (WinDefend) - The service is running
Microsoft Defender Antivirus-Netzwerkinspektionsdienst (WdNisSvc) - The service is running
----------------------------- [ End of Log ] ------------------------------
         

Alt 03.08.2023, 18:07   #8
M-K-D-B
/// TB-Ausbilder
 
Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord - Standard

Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord



Zitat:
Zitat von xool Beitrag anzeigen
Dazu laed jetzt kurz vor dem Login-Bildschirm immer noch was, das war vor der Erkennung nicht.
Wird was legitimes oder was windows-internes sein, aber keine Malware.



Wie du selbst in der Logatei von SC gesehen hast, kannst du noch ein paar Programme upaten. Firefox sollte das eigentlich automatich machen, zumindest ist das bei mir so.




Schritt 1
Die folgenden Programme sind veraltet. Du solltest sie deinstallieren und die neueste Version installieren:
  • LibreOffice
  • Discord
  • Zoom
  • Mozilla Firefox
Die Downloadlinks dazu findest du in der Logdatei von SecurityCheck.







Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alt 03.08.2023, 19:02   #9
xool
 
Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord - Standard

Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord



Hab keine Fragen mehr, danke nochmal


Code:
ATTFilter
# Run at 03.08.2023 19:52:48
# KpRm (Kernel-panik) version 2.14.0
# Website https://kernel-panik.me/tool/kprm/
# Run by BTL from C:\Users\BTL\Downloads
# Computer Name: DESKTOP-IAT217H
# OS: Windows 10 X64 (19045) (10.0.19045.3271) 
# Number of passes: 1

- Checked options -

    ~ Delete Tools

- Delete Tools -


  ## AdwCleaner
     [OK] C:\Users\BTL\Downloads\adwcleaner.exe deleted

  ## ESET Online Scanner
     [OK] C:\Users\BTL\Desktop\ESET Online Scanner.lnk deleted
     [OK] C:\Users\BTL\Desktop\esetonlinescanner.exe deleted
     [OK] C:\Users\BTL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET Online Scanner.lnk deleted

  ## FRST
     [OK] C:\Users\BTL\Desktop\Addition.txt deleted
     [OK] C:\Users\BTL\Desktop\FRST.txt deleted
     [OK] C:\Users\BTL\Desktop\FRST64.exe deleted
     [OK] C:\Users\BTL\Downloads\Addition.txt deleted
     [OK] C:\Users\BTL\Downloads\Fixlog.txt deleted
     [OK] C:\Users\BTL\Downloads\FRST.txt deleted
     [OK] C:\Users\BTL\Downloads\FRST64.exe deleted

  ## Malwarebytes (log)
     [OK] C:\Users\BTL\Desktop\MBAM.txt deleted
     [OK] C:\Users\Public\Desktop\mbst-grab-results.zip deleted

  ## SecurityCheck
     [OK] C:\Users\BTL\Downloads\SecurityCheck.exe deleted
     [OK] C:\SecurityCheck deleted

  ## Shortcut Cleaner
     [OK] C:\Users\BTL\Desktop\sc-cleaner.txt deleted
     [OK] C:\Users\BTL\Downloads\sc-cleaner.exe deleted

- Other Lines -


  ## Quarantines keeped
    ~ C:\AdwCleaner (AdwCleaner)
    ~ C:\Users\BTL\AppData\Local\ESET\ESETOnlineScanner (ESET Online Scanner)
    ~ C:\FRST (FRST)

-- KPRM finished in 1.21s --
         

Geändert von xool (03.08.2023 um 19:21 Uhr)

Alt 03.08.2023, 21:43   #10
M-K-D-B
/// TB-Ausbilder
 
Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord - Standard

Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord



Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

Thema geschlossen

Themen zu Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord
browser, defender, firefox, google, installation, internet, internet explorer, microsoft defender, mozilla, popup, programm, prozess, prozesse, realtek, registry, rundll, scan, security, server, services.exe, starten, svchost, svchost.exe, system, trojan, udp



Ähnliche Themen: Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord


  1. Win32/CoinMiner wurde erkannt!
    Log-Analyse und Auswertung - 09.07.2023 (15)
  2. Windows Defender erkannt Trojan:JS/Miner,JS/CoinHive.A, JS/CoinMiner.C!MSR
    Diskussionsforum - 01.04.2020 (7)
  3. Trojan:Win32/CoinMiner entfernen
    Anleitungen, FAQs & Links - 14.06.2018 (2)
  4. TR/CoinMiner Trojan entfernen
    Anleitungen, FAQs & Links - 14.06.2018 (2)
  5. Trojaner win32/coinminer browsermodifier win32/foxiebro eingefangen wie werd ich den wieder los?
    Log-Analyse und Auswertung - 20.03.2018 (3)
  6. JS/CoinMiner Trojan entfernen
    Anleitungen, FAQs & Links - 05.03.2018 (2)
  7. PUA.CoinMiner Trojan entfernen
    Anleitungen, FAQs & Links - 25.02.2018 (2)
  8. W32/CoinMiner Trojan entfernen
    Anleitungen, FAQs & Links - 25.02.2018 (2)
  9. Windows 7: lsass.exe und TR/CoinMiner.1594368 / Trojan.Agent.Gen in temp/svhost.exe
    Plagegeister aller Art und deren Bekämpfung - 27.03.2015 (15)
  10. [TR/CoinMiner bzw. Trojan.Agent.Gen] svchost.exe und lsass.exe in Windows\Temp
    Plagegeister aller Art und deren Bekämpfung - 21.03.2015 (17)
  11. Windows 7: Viren: BrowserModifier:Win32/CouponRuc und Trojan:Win32/Peals!gfs evtl. weitere
    Log-Analyse und Auswertung - 31.01.2015 (9)
  12. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  13. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  14. Trojaner(Trojan:Win32/CoinMiner .R) ist nach löschen und neustart des Computers wieder da
    Log-Analyse und Auswertung - 11.09.2013 (32)
  15. Trojanermeldung "win32/coinminer"
    Plagegeister aller Art und deren Bekämpfung - 15.09.2012 (47)
  16. Virus Win32/CoinMiner entfernt oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 25.03.2012 (25)
  17. win32/CoinMiner Virus!
    Log-Analyse und Auswertung - 07.01.2012 (1)

Zum Thema Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord - Hallo, Verdacht hatte ich geschoepft, als Ende letzter Woche Discord sich seltsam bei Ton sowie Videowiedergabe verhalten hat und nachdem am naechsten Tag ueber den 2. sound output von Discord - Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord...
Archiv
Du betrachtest: Trojan:Win32.CoinMiner/PUA:Win32.CoinMiner/RiskWare.HeuristicsReservedWordExploit/ evtl noch einen RAT ueber Discord auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.