Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Cerber 4.0 Ransomware auf dem Rechner (https://www.trojaner-board.de/182546-cerber-4-0-ransomware-rechner.html)

wechselbalg 27.10.2016 17:38
Cerber 4.0 Ransomware auf dem Rechner
 
Hallo liebe Trojanerbekämpfer,

heute Mittag hat mir doch glatt der Cerber 4.0 Virus meine Dateien verschlüsselt (dass es der Cerber 4 ist, habe ich hier durch Hochladen von zwei Beispielfiles gesagt bekommen: https://id-ransomware.malwarehunterteam.com/identify.php )
So weit so ärgerlich, aber die Daten, auf die es mir ankommt, hatte ich auf einer externen Platte vor drei Tagen gesichert. Wir brauchen also auf das, was sich jetzt noch auf Laufwerk C: befindet, keine große Rücksicht zu nehmen. Klar ist aber: bevor ich meine externe Festplatte mit der Sicherheitskopie wieder an den komprommittierten Rechner anschließe, will ich natürlich sicher sein, dass der Cerber weg ist, und auch keine Hintertüren offen gelassen hat.

Malwarebytes konnte ich im ersten Anlauf nur in der alten Version starten, die sich bereits auf dem Rechner befand (126 Funde). Nach Neustart habe ich dann auf die aktuelle MBAM Version updaten können, die hat dann gleich nochmal 45 Sachen gefunden.

MBAM (alte Version) Logfile:
Code:
Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Date: 27.10.2016
Scan Time: 17:37
Logfile: MBAM_2.txt
Administrator: Yes

Version: 2.00.4.1028
Malware Database: v2015.04.28.05
Rootkit Database: v2015.04.21.01
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Enabled

OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: Admin

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 388861
Time Elapsed: 4 min, 6 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 82
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ACS.EXE, Quarantined, [74813c355b2f102683706f23fa0abf41],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVK.EXE, Quarantined, [797c93de3e4ca98de5e1474c01034db3],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVKPROXY.EXE, Quarantined, [3abbafc2d2b8b87e2d9c761d49bb9d63],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVKSERVICE.EXE, Quarantined, [777e5a175931c1756a630a897e8616ea],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVKTRAY.EXE, Quarantined, [dc19007159315bdb5c721f748f755aa6],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\BULLGUARD.EXE, Quarantined, [9362b9b8f694c27408ba330dc83cdc24],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CAVWP.EXE, Quarantined, [45b020514d3d80b6fdfd6c85f112a759],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CIS.EXE, Quarantined, [c62ffa773c4e47ef9368b14044bfa25e],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CISTRAY.EXE, Quarantined, [ae4781f07b0fe650827a1cd553b0b848],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CLAMTRAY.EXE, Quarantined, [5c99d8995d2de056354ba0f432d239c7],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CLAMWIN.EXE, Quarantined, [b144b5bc2b5f191d374a771df31141bf],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CMDAGENT.EXE, Quarantined, [b045beb357338fa709874c488d7754ac],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\EMLPROXY.EXE, Quarantined, [ce270170fc8e20164eac464e74901ce4],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FPAVSERVER.EXE, Quarantined, [f7fe31407515e0567cc065300cf818e8],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FPROTTRAY.EXE, Quarantined, [886df77acbbf3006d669484d689cc23e],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FPWIN.EXE, Quarantined, [50a5bcb51c6ed1659ba6e8ada85c35cb],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSGK32.EXE, Quarantined, [f9fcabc67d0d171f015599fc0bf96997],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSM32.EXE, Quarantined, [b4419bd657338fa75b00732208fcaa56],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSMA32.EXE, Quarantined, [52a3c6ab3159d85e80ddb2e3ca3abc44],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSSM32.EXE, Quarantined, [896c323fc4c674c2fb667c1961a36c94],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\GUARDXSERVICE.EXE, Quarantined, [5c99bdb4c6c47cbaf092d5c0b252a45c],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MBAMSCHEDULER.EXE, Quarantined, [af468ce5dfabfe386b18d542c34151af],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MPCMDRUN.EXE, Quarantined, [06ef066bc5c545f1cad77e1834d00cf4],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MPUXSRV.EXE, Quarantined, [8d685d14ee9c48ee87417f982ed6df21],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MSASCUI.EXE, Quarantined, [688ded8465258ea8f6bd8d09679db050],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MSMPENG.EXE, Quarantined, [1bda165baedc2c0aa91d851134d0ff01],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\NBROWSER.EXE, Quarantined, [a94c7bf6d8b2f73f5e53467f818325db],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\NPROSEC.EXE, Quarantined, [de17d79aee9c340255668a3bd034857b],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\NVCOD.EXE, Quarantined, [d61f1e53d3b7d1653207c1d6fe06aa56],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ONLINENT.EXE, Quarantined, [da1b7001bdcdc2747fdcb1e60bf951af],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\PROCEXP.EXE, Quarantined, [8b6a125fa9e177bf1fba1780aa5ae41c],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\PSANHOST.EXE, Quarantined, [da1b5f129cee979f796ba3f4976d52ae],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\QUHLPSVC.EXE, Quarantined, [03f2f081ee9ccb6b4bbfc7d1709428d8],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SCANNER.EXE, Quarantined, [7b7a84edd6b4a09611638d0b4bb949b7],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SCANWSCS.EXE, Quarantined, [4ea70e63bad085b116613266f21224dc],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SUPERANTISPYWARE.EXE, Quarantined, [36bfc6ab01891125b08a6d4492729967],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\USERACCOUNTCONTROLSETTINGS.EXE, Quarantined, [db1aadc43b4f38fe20b22f119e667e82],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\VIRUSUTILITIES.EXE, Quarantined, [11e4f57c761411254f7200edc73d817f],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\WIRESHARK.EXE, Quarantined, [bf3699d86327e155d9217cbd20e5837d],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ZANDA.EXE, Quarantined, [20d5e19039515bdb799ab0ea9b69bb45],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ZLH.EXE, Quarantined, [f302c4ad22680036200292089f6528d8],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ACS.EXE, Quarantined, [5a9b2b467416bc7a945f088a669e649c],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVK.EXE, Quarantined, [d61f1a57fd8d95a10cbacdc65ca827d9],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVKPROXY.EXE, Quarantined, [7a7b95dcf09a9c9ae6e393004aba06fa],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVKSERVICE.EXE, Quarantined, [2cc9f37ec3c77abc408d91025da7ac54],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVKTRAY.EXE, Quarantined, [ed086809098120169935246f9a6af20e],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\BULLGUARD.EXE, Quarantined, [f104541d4e3c989eb50d83bdc04456aa],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CAVWP.EXE, Quarantined, [8b6a561b098196a0b5459f5252b1e917],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CIS.EXE, Quarantined, [c43189e8b5d540f6d4277e73d1323ec2],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CISTRAY.EXE, Quarantined, [52a3f47d03878ea874885998cd36966a],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CLAMTRAY.EXE, Quarantined, [579ea7ca1377a492354b5a3af90bc739],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CLAMWIN.EXE, Quarantined, [6f8676fbc0ca79bd552c8014b94b21df],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CMDAGENT.EXE, Quarantined, [4ea76a07a2e85fd7aae62d672dd7fb05],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\EMLPROXY.EXE, Quarantined, [7e77c5ac602a1422d4265d373acaa060],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FPAVSERVER.EXE, Quarantined, [f9fc96db8efc2b0b23197223ba4a4fb1],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FPROTTRAY.EXE, Quarantined, [6c89a2cf3d4d5fd7aa95b2e39d6708f8],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FPWIN.EXE, Quarantined, [84713d346b1fc1750140504501034db3],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSGK32.EXE, Quarantined, [f104650c7e0cd066c5919401f014827e],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSM32.EXE, Quarantined, [fcf982efb6d43bfbb4a7365fd3318f71],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSMA32.EXE, Quarantined, [8a6bbdb4355554e2d88544518b7942be],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSSM32.EXE, Quarantined, [23d25021bad072c4253c1a7b6c983dc3],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\GUARDXSERVICE.EXE, Quarantined, [ce27373a0e7ca294483a0095749020e0],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MBAMSCHEDULER.EXE, Quarantined, [25d01a57ed9d64d2e59e2ee940c425db],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MPCMDRUN.EXE, Quarantined, [fcf9145d355591a55e431383669ef709],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MPUXSRV.EXE, Quarantined, [01f4620f1278270f20a844d33dc75aa6],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MSASCUI.EXE, Quarantined, [ee070a6767233ef8eac9fe98ce36f808],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MSMPENG.EXE, Quarantined, [e70e7ff2afdbf442c303a6f01ce86e92],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\NBROWSER.EXE, Quarantined, [db1a2c45bdcdfb3b357ce8dd7b89ed13],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\NPROSEC.EXE, Quarantined, [db1aaec3870313237645e7deeb1917e9],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\NVCOD.EXE, Quarantined, [21d4c1b0ddad0531f6430b8cc83ca759],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ONLINENT.EXE, Quarantined, [ec09254c90facf67da81a4f339cb2cd4],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\PROCEXP.EXE, Quarantined, [b73ee98856343ff77465ff9855af36ca],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\PSANHOST.EXE, Quarantined, [c92c6d047b0f76c070748b0c0ef6a55b],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\QUHLPSVC.EXE, Quarantined, [2bca21503d4d52e4927842563cc80df3],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SCANNER.EXE, Quarantined, [ae470e631a701f17bcb8c1d7956fb050],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SCANWSCS.EXE, Quarantined, [05f06b062b5fbf779cdb1484e1236799],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SUPERANTISPYWARE.EXE, Quarantined, [75801e53b8d2d95d89b18031c242ba46],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\USERACCOUNTCONTROLSETTINGS.EXE, Quarantined, [fbfaacc5a3e701354d8520205aaa6f91],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\VIRUSUTILITIES.EXE, Quarantined, [94611a577e0cac8a744dcd207c889c64],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\WIRESHARK.EXE, Quarantined, [fdf84d24c5c542f464967dbc6d98c13f],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ZANDA.EXE, Quarantined, [63927af7f595cf6747cc1486fb093dc3],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ZLH.EXE, Quarantined, [8b6a84ed3456082e7da58f0bbd4717e9],

Registry Values: 84
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ACS.EXE|debugger, svchost.exe, Quarantined, [74813c355b2f102683706f23fa0abf41]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVK.EXE|debugger, svchost.exe, Quarantined, [797c93de3e4ca98de5e1474c01034db3]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVKPROXY.EXE|debugger, svchost.exe, Quarantined, [3abbafc2d2b8b87e2d9c761d49bb9d63]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVKSERVICE.EXE|debugger, svchost.exe, Quarantined, [777e5a175931c1756a630a897e8616ea]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVKTRAY.EXE|debugger, svchost.exe, Quarantined, [dc19007159315bdb5c721f748f755aa6]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\BULLGUARD.EXE|debugger, svchost.exe, Quarantined, [9362b9b8f694c27408ba330dc83cdc24]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CAVWP.EXE|debugger, svchost.exe, Quarantined, [45b020514d3d80b6fdfd6c85f112a759]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CIS.EXE|debugger, svchost.exe, Quarantined, [c62ffa773c4e47ef9368b14044bfa25e]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CISTRAY.EXE|debugger, svchost.exe, Quarantined, [ae4781f07b0fe650827a1cd553b0b848]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CLAMTRAY.EXE|debugger, svchost.exe, Quarantined, [5c99d8995d2de056354ba0f432d239c7]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CLAMWIN.EXE|debugger, svchost.exe, Quarantined, [b144b5bc2b5f191d374a771df31141bf]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CMDAGENT.EXE|debugger, svchost.exe, Quarantined, [b045beb357338fa709874c488d7754ac]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\EMLPROXY.EXE|debugger, svchost.exe, Quarantined, [ce270170fc8e20164eac464e74901ce4]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FPAVSERVER.EXE|debugger, svchost.exe, Quarantined, [f7fe31407515e0567cc065300cf818e8]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FPROTTRAY.EXE|debugger, svchost.exe, Quarantined, [886df77acbbf3006d669484d689cc23e]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FPWIN.EXE|debugger, svchost.exe, Quarantined, [50a5bcb51c6ed1659ba6e8ada85c35cb]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSGK32.EXE|debugger, svchost.exe, Quarantined, [f9fcabc67d0d171f015599fc0bf96997]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSM32.EXE|debugger, svchost.exe, Quarantined, [b4419bd657338fa75b00732208fcaa56]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSMA32.EXE|debugger, svchost.exe, Quarantined, [52a3c6ab3159d85e80ddb2e3ca3abc44]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSSM32.EXE|debugger, svchost.exe, Quarantined, [896c323fc4c674c2fb667c1961a36c94]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\GUARDXSERVICE.EXE|debugger, svchost.exe, Quarantined, [5c99bdb4c6c47cbaf092d5c0b252a45c]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MBAMSCHEDULER.EXE|debugger, svchost.exe, Quarantined, [af468ce5dfabfe386b18d542c34151af]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MPCMDRUN.EXE|debugger, svchost.exe, Quarantined, [06ef066bc5c545f1cad77e1834d00cf4]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MPUXSRV.EXE|debugger, svchost.exe, Quarantined, [8d685d14ee9c48ee87417f982ed6df21]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MSASCUI.EXE|debugger, svchost.exe, Quarantined, [688ded8465258ea8f6bd8d09679db050]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MSMPENG.EXE|debugger, svchost.exe, Quarantined, [1bda165baedc2c0aa91d851134d0ff01]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\NBROWSER.EXE|debugger, svchost.exe, Quarantined, [a94c7bf6d8b2f73f5e53467f818325db]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\NPROSEC.EXE|debugger, svchost.exe, Quarantined, [de17d79aee9c340255668a3bd034857b]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\NVCOD.EXE|debugger, svchost.exe, Quarantined, [d61f1e53d3b7d1653207c1d6fe06aa56]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ONLINENT.EXE|debugger, svchost.exe, Quarantined, [da1b7001bdcdc2747fdcb1e60bf951af]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\PROCEXP.EXE|debugger, svchost.exe, Quarantined, [8b6a125fa9e177bf1fba1780aa5ae41c]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\PSANHOST.EXE|debugger, svchost.exe, Quarantined, [da1b5f129cee979f796ba3f4976d52ae]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\QUHLPSVC.EXE|debugger, svchost.exe, Quarantined, [03f2f081ee9ccb6b4bbfc7d1709428d8]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SCANNER.EXE|debugger, svchost.exe, Quarantined, [7b7a84edd6b4a09611638d0b4bb949b7]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SCANWSCS.EXE|debugger, svchost.exe, Quarantined, [4ea70e63bad085b116613266f21224dc]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SUPERANTISPYWARE.EXE|debugger, svchost.exe, Quarantined, [36bfc6ab01891125b08a6d4492729967]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\TASKMGR.EXE|debugger, svchost.exe, Quarantined, [8b6a2948bbcff5410cfe20793fc554ac]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\USERACCOUNTCONTROLSETTINGS.EXE|debugger, svchost.exe, Quarantined, [db1aadc43b4f38fe20b22f119e667e82]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\VIRUSUTILITIES.EXE|debugger, svchost.exe, Quarantined, [11e4f57c761411254f7200edc73d817f]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\WIRESHARK.EXE|debugger, svchost.exe, Quarantined, [bf3699d86327e155d9217cbd20e5837d]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ZANDA.EXE|debugger, svchost.exe, Quarantined, [20d5e19039515bdb799ab0ea9b69bb45]
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ZLH.EXE|debugger, svchost.exe, Quarantined, [f302c4ad22680036200292089f6528d8]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ACS.EXE|debugger, svchost.exe, Quarantined, [5a9b2b467416bc7a945f088a669e649c]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVK.EXE|debugger, svchost.exe, Quarantined, [d61f1a57fd8d95a10cbacdc65ca827d9]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVKPROXY.EXE|debugger, svchost.exe, Quarantined, [7a7b95dcf09a9c9ae6e393004aba06fa]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVKSERVICE.EXE|debugger, svchost.exe, Quarantined, [2cc9f37ec3c77abc408d91025da7ac54]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVKTRAY.EXE|debugger, svchost.exe, Quarantined, [ed086809098120169935246f9a6af20e]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\BULLGUARD.EXE|debugger, svchost.exe, Quarantined, [f104541d4e3c989eb50d83bdc04456aa]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CAVWP.EXE|debugger, svchost.exe, Quarantined, [8b6a561b098196a0b5459f5252b1e917]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CIS.EXE|debugger, svchost.exe, Quarantined, [c43189e8b5d540f6d4277e73d1323ec2]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CISTRAY.EXE|debugger, svchost.exe, Quarantined, [52a3f47d03878ea874885998cd36966a]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CLAMTRAY.EXE|debugger, svchost.exe, Quarantined, [579ea7ca1377a492354b5a3af90bc739]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CLAMWIN.EXE|debugger, svchost.exe, Quarantined, [6f8676fbc0ca79bd552c8014b94b21df]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CMDAGENT.EXE|debugger, svchost.exe, Quarantined, [4ea76a07a2e85fd7aae62d672dd7fb05]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\EMLPROXY.EXE|debugger, svchost.exe, Quarantined, [7e77c5ac602a1422d4265d373acaa060]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FPAVSERVER.EXE|debugger, svchost.exe, Quarantined, [f9fc96db8efc2b0b23197223ba4a4fb1]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FPROTTRAY.EXE|debugger, svchost.exe, Quarantined, [6c89a2cf3d4d5fd7aa95b2e39d6708f8]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FPWIN.EXE|debugger, svchost.exe, Quarantined, [84713d346b1fc1750140504501034db3]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSGK32.EXE|debugger, svchost.exe, Quarantined, [f104650c7e0cd066c5919401f014827e]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSM32.EXE|debugger, svchost.exe, Quarantined, [fcf982efb6d43bfbb4a7365fd3318f71]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSMA32.EXE|debugger, svchost.exe, Quarantined, [8a6bbdb4355554e2d88544518b7942be]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FSSM32.EXE|debugger, svchost.exe, Quarantined, [23d25021bad072c4253c1a7b6c983dc3]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\GUARDXSERVICE.EXE|debugger, svchost.exe, Quarantined, [ce27373a0e7ca294483a0095749020e0]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MBAMSCHEDULER.EXE|debugger, svchost.exe, Quarantined, [25d01a57ed9d64d2e59e2ee940c425db]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MPCMDRUN.EXE|debugger, svchost.exe, Quarantined, [fcf9145d355591a55e431383669ef709]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MPUXSRV.EXE|debugger, svchost.exe, Quarantined, [01f4620f1278270f20a844d33dc75aa6]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MSASCUI.EXE|debugger, svchost.exe, Quarantined, [ee070a6767233ef8eac9fe98ce36f808]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MSMPENG.EXE|debugger, svchost.exe, Quarantined, [e70e7ff2afdbf442c303a6f01ce86e92]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\NBROWSER.EXE|debugger, svchost.exe, Quarantined, [db1a2c45bdcdfb3b357ce8dd7b89ed13]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\NPROSEC.EXE|debugger, svchost.exe, Quarantined, [db1aaec3870313237645e7deeb1917e9]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\NVCOD.EXE|debugger, svchost.exe, Quarantined, [21d4c1b0ddad0531f6430b8cc83ca759]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ONLINENT.EXE|debugger, svchost.exe, Quarantined, [ec09254c90facf67da81a4f339cb2cd4]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\PROCEXP.EXE|debugger, svchost.exe, Quarantined, [b73ee98856343ff77465ff9855af36ca]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\PSANHOST.EXE|debugger, svchost.exe, Quarantined, [c92c6d047b0f76c070748b0c0ef6a55b]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\QUHLPSVC.EXE|debugger, svchost.exe, Quarantined, [2bca21503d4d52e4927842563cc80df3]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SCANNER.EXE|debugger, svchost.exe, Quarantined, [ae470e631a701f17bcb8c1d7956fb050]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SCANWSCS.EXE|debugger, svchost.exe, Quarantined, [05f06b062b5fbf779cdb1484e1236799]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SUPERANTISPYWARE.EXE|debugger, svchost.exe, Quarantined, [75801e53b8d2d95d89b18031c242ba46]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\TASKMGR.EXE|debugger, svchost.exe, Quarantined, [9c595819d6b4b97d59b1940532d208f8]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\USERACCOUNTCONTROLSETTINGS.EXE|debugger, svchost.exe, Quarantined, [fbfaacc5a3e701354d8520205aaa6f91]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\VIRUSUTILITIES.EXE|debugger, svchost.exe, Quarantined, [94611a577e0cac8a744dcd207c889c64]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\WIRESHARK.EXE|debugger, svchost.exe, Quarantined, [fdf84d24c5c542f464967dbc6d98c13f]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ZANDA.EXE|debugger, svchost.exe, Quarantined, [63927af7f595cf6747cc1486fb093dc3]
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ZLH.EXE|debugger, svchost.exe, Quarantined, [8b6a84ed3456082e7da58f0bbd4717e9]

Registry Data: 2
Windows.Tool.Disabled, HKLM\SOFTWARE\POLICIES\MICROSOFT\WINDOWS NT\SYSTEMRESTORE|DisableConfig, 1, Good: (0), Bad: (1),Replaced,[16dfff725d2da59168c0ee1b19ede21e]
Windows.Tool.Disabled, HKLM\SOFTWARE\WOW6432NODE\POLICIES\MICROSOFT\WINDOWS NT\SYSTEMRESTORE|DisableConfig, 1, Good: (0), Bad: (1),Replaced,[51a475fc424821154adea960c83ee31d]

Folders: 0
(No malicious items detected)

Files: 0
(No malicious items detected)

Physical Sectors: 0
(No malicious items detected)


(end)


MBAM (aktuelle Version) Logfile:
Code:
Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Date: 27.10.2016
Scan Time: 17:51
Logfile: MBAM_3.txt
Administrator: Yes

Version: 2.2.1.1043
Malware Database: v2016.10.27.07
Rootkit Database: v2016.09.26.02
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled

OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: Admins

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 353720
Time Elapsed: 2 min, 39 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 15
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CLAMSCAN.EXE, Quarantined, [d063b8e6dbbffa3c699f8844db2859a7],
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FRESHCLAM.EXE, Quarantined, [47ec613dcbcf7fb7c1c9f4d8d82b25db],
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CLAMSCAN.EXE, Quarantined, [a192ff9ffaa048ee54b4e5e72cd76799],
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FRESHCLAM.EXE, Quarantined, [60d38f0f7e1ce5516d1d5a729e65b947],
PUP.Optional.CrossRider, HKU\S-1-5-18\SOFTWARE\APPDATALOW\SOFTWARE\Sense, Quarantined, [84afd0cee3b73204c20adcfb4ab842be],
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{10C7A83B-1C36-4D94-B718-3CF2712E216A}, Quarantined, [35fedec053471c1a20c5a6f88f74f709],
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{13709CD4-1D45-42A2-8B51-3F395B65B1E3}, Quarantined, [979c4955dfbbca6ccd19f9a5dd26c53b],
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{44E0B96F-FFDC-4600-928F-215BD67E8FA7}, Quarantined, [260d4b53603a3cfab0352678c73c2ad6],
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{6D0AC3A1-5DC1-4AFB-87F2-A63BF7897825}, Quarantined, [0b282b735c3e092da1450f8f51b2af51],
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{750BFF28-2DAD-4181-89DD-5DB239817C72}, Quarantined, [3bf8039be8b2b680b4318e1062a18b75],
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{9E563179-CCB8-4E1C-86D1-B5983C2D629C}, Quarantined, [df541d814357d4623bab47571be8f010],
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{A751E42A-5025-4000-867B-63B925853B80}, Quarantined, [2310e1bdafebb97d1acb386671922cd4],
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{B7AA599E-52E3-461E-9680-3D16B84B8AA2}, Quarantined, [6dc6c7d76535ce68a046b4ea3ac955ab],
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{CE424CCA-415D-473D-B9D5-BAD3A02A1F27}, Quarantined, [68cba0fe1b7f89adb72fc1ddf50e1de3],
PUP.Optional.OutBrowse, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\OB, Quarantined, [5fd4c1ddd0ca55e19cd0208e6e95b050],

Registry Values: 21
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CLAMSCAN.EXE|debugger, svchost.exe, Quarantined, [d063b8e6dbbffa3c699f8844db2859a7]
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FRESHCLAM.EXE|debugger, svchost.exe, Quarantined, [47ec613dcbcf7fb7c1c9f4d8d82b25db]
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CLAMSCAN.EXE|debugger, svchost.exe, Quarantined, [a192ff9ffaa048ee54b4e5e72cd76799]
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FRESHCLAM.EXE|debugger, svchost.exe, Quarantined, [60d38f0f7e1ce5516d1d5a729e65b947]
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{10C7A83B-1C36-4D94-B718-3CF2712E216A}|AppName, fae77da2-4beb-441e-a80f-2233145b4246-2.exe-buttonutil.exe, Quarantined, [35fedec053471c1a20c5a6f88f74f709]
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{13709CD4-1D45-42A2-8B51-3F395B65B1E3}|AppName, 856c6d2a-3524-4dff-8b60-60a0fc194b36-2.exe-codedownloader.exe, Quarantined, [979c4955dfbbca6ccd19f9a5dd26c53b]
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{44E0B96F-FFDC-4600-928F-215BD67E8FA7}|AppName, fae77da2-4beb-441e-a80f-2233145b4246-2.exe-buttonutil.exe, Quarantined, [260d4b53603a3cfab0352678c73c2ad6]
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{6D0AC3A1-5DC1-4AFB-87F2-A63BF7897825}|AppName, 856c6d2a-3524-4dff-8b60-60a0fc194b36-2.exe-codedownloader.exe, Quarantined, [0b282b735c3e092da1450f8f51b2af51]
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{750BFF28-2DAD-4181-89DD-5DB239817C72}|AppName, 856c6d2a-3524-4dff-8b60-60a0fc194b36-2.exe-buttonutil.exe, Quarantined, [3bf8039be8b2b680b4318e1062a18b75]
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{9E563179-CCB8-4E1C-86D1-B5983C2D629C}|AppName, 85bfe029-98ca-4ec8-9176-cbab512e2e23-2.exe-codedownloader.exe, Quarantined, [df541d814357d4623bab47571be8f010]
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{A751E42A-5025-4000-867B-63B925853B80}|AppName, 856c6d2a-3524-4dff-8b60-60a0fc194b36-2.exe-buttonutil.exe, Quarantined, [2310e1bdafebb97d1acb386671922cd4]
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{B7AA599E-52E3-461E-9680-3D16B84B8AA2}|AppName, 856c6d2a-3524-4dff-8b60-60a0fc194b36-2.exe-codedownloader.exe, Quarantined, [6dc6c7d76535ce68a046b4ea3ac955ab]
PUP.Optional.CrossRider, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{CE424CCA-415D-473D-B9D5-BAD3A02A1F27}|AppName, fae77da2-4beb-441e-a80f-2233145b4246-2.exe-codedownloader.exe, Quarantined, [68cba0fe1b7f89adb72fc1ddf50e1de3]
PUP.Optional.OutBrowse, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\OB|monitype1, 12/19/14 20:37:26, Quarantined, [5fd4c1ddd0ca55e19cd0208e6e95b050]
PUP.Optional.OutBrowse, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\OB|monitype17, 12/19/14 20:37:26, Quarantined, [df54e3bb7e1c62d4cf9dd5d90ef5b947]
PUP.Optional.OutBrowse, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\OB|monitype22, 12/19/14 20:37:40, Quarantined, [76bdd1cd3e5ce84e016b614dcc37916f]
PUP.Optional.OutBrowse, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\OB|monitype6, 12/19/14 20:40:21, Quarantined, [52e1dcc21b7fe45291db4e60ee15f40c]
PUP.Optional.OutBrowse, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\OB|monitype12, 12/19/14 20:40:54, Quarantined, [e84b9d015149cb6ba3c9298500036997]
PUP.Optional.OutBrowse, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\OB|monitype5, 12/19/14 20:41:25, Quarantined, [70c347572a7061d536365f4ffa0936ca]
PUP.Optional.OutBrowse, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\OB|monitype15, 12/19/14 20:41:25, Quarantined, [f043326c257560d6d4987a3436cd9f61]
PUP.Optional.OutBrowse, HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\OB|monitype4, 12/19/14 20:41:35, Quarantined, [2c078c121c7eb581323aae0020e3c33d]

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 9
Ransom.Cerber, C:\Users\inel-eins\AppData\Roaming\ProxySettings.dll, Quarantined, [d063b5e91387f64035ef61be52b326da],
Ransom.Cerber, C:\Users\inel-eins\AppData\Local\Temp\n5zyi9qea.exe, Quarantined, [c46f2975900a8fa7d054c55a81846b95],
PUP.Optional.InstallCore, C:\Users\inel-eins\AppData\Local\Temp\nsb57E9.tmp, Quarantined, [8aa985199703cf672244efb356ab2fd1],
PUP.Optional.InstallCore, C:\Users\inel-eins\AppData\Local\Temp\nsz659B.tmp, Quarantined, [bd766539ebaf5fd7bda9ddc5936e7e82],
Ransom.Cerber, C:\Users\inel-eins\AppData\Local\Temp\aovv1qvg1.exe, Quarantined, [4ee57a24b3e7ef47061e7aa59e676898],
Trojan.Bunitu.ED, C:\Users\inel-eins\AppData\Local\Temp\Random486680185797814772.exe, Quarantined, [de55d5c9801ace68e028b16602ffd42c],
PUP.Optional.InstallCore, C:\Users\inel-eins\AppData\Local\Temp\ICReinstall_nsb57E9.tmp, Quarantined, [3df6633b4951ce68dd891d8547bab64a],
PUP.Optional.InstallCore, C:\Users\inel-eins\AppData\Local\Temp\ICReinstall_nsz659B.tmp, Quarantined, [9d969d013e5cf93d20467d2548b9cd33],
PUP.Optional.ShopperPro, C:\Users\inel-eins\AppData\Local\Temp\Install_31237\ins_shopperpro.exe, Quarantined, [92a1b4ea6d2d40f6c6bf6bc2a85945bb],

Physical Sectors: 0
(No malicious items detected)


(end)

Mehr habe ich an Software noch nicht drüberlaufen lassen. So wie es aussieht, hat der kompromittierte Rechner auch auf meinem Zweitrechner und den Netzwerkfreigaben, die er darauf erreichen konnte, die PST-Dateien platt gemacht. Ganz nett programmiert. Guckt links und rechts, verhindert den Start von Malwarebytes auf herkömmlichem Weg, verhindert das Update, wenn MBAM wider Erwarten doch gestartet werden konnte, verhindert den Affengriff [CTRL-ALT-ENTF]. Kostet durchaus Zeit.

Kriegen wir den Rechner sicher wieder hingebogen, oder soll ich ihn besser gleich neu aufsetzen?

Danke,
Wechselbalg

cosinus 28.10.2016 09:08
Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)




Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

wechselbalg 28.10.2016 17:28
Ja, gerne, hier sind sie:

Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 26-10-2016
durchgeführt von eins (ACHTUNG: der Benutzer ist kein Administrator) auf PC-6 (28-10-2016 18:09:02)
Gestartet von C:\Users\eins\Desktop
Geladene Profile: eins (Verfügbare Profile: eins & Admin auf eins)
Platform: Windows 7 Professional Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: "C:\Program Files (x86)\Firefox\firefox.exe" -osint -url "%1")
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

konnte nicht auf den Prozess zugreifen -> smss.exe
konnte nicht auf den Prozess zugreifen -> csrss.exe
konnte nicht auf den Prozess zugreifen -> wininit.exe
konnte nicht auf den Prozess zugreifen -> csrss.exe
konnte nicht auf den Prozess zugreifen -> services.exe
konnte nicht auf den Prozess zugreifen -> winlogon.exe
konnte nicht auf den Prozess zugreifen -> lsass.exe
konnte nicht auf den Prozess zugreifen -> lsm.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> spoolsv.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> NetworkLicenseServer.exe
konnte nicht auf den Prozess zugreifen -> spd.exe
konnte nicht auf den Prozess zugreifen -> FCUpdateService.exe
konnte nicht auf den Prozess zugreifen -> FoxitConnectedPDFService.exe
konnte nicht auf den Prozess zugreifen -> HeciServer.exe
konnte nicht auf den Prozess zugreifen -> mbamscheduler.exe
konnte nicht auf den Prozess zugreifen -> mbamservice.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
(Malwarebytes) C:\Program Files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbam.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(4Team Corporation) C:\Program Files (x86)\Tools\Outlook synchronisieren\Sync2.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
(NewSoft Technology Corporation) C:\Program Files (x86)\Plustek\Software\PageManager 9\PMSpeed.exe
() C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\DocuAction.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
konnte nicht auf den Prozess zugreifen -> SearchIndexer.exe
konnte nicht auf den Prozess zugreifen -> wmpnetwk.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
konnte nicht auf den Prozess zugreifen -> IAStorDataMgrSvc.exe
konnte nicht auf den Prozess zugreifen -> IntelMeFWService.exe
konnte nicht auf den Prozess zugreifen -> Jhi_service.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
(Microsoft Corporation) C:\Windows\splwow64.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jucheck.exe
(Scanner Search Tool) C:\Program Files (x86)\Plustek\Scanner Search Tool\Scanner Search Tool.exe
(cFos Software GmbH) C:\Program Files\ASRock\XFast LAN\cfosspeed.exe
(Mozilla Corporation) C:\Program Files (x86)\Firefox\firefox.exe
konnte nicht auf den Prozess zugreifen -> SearchProtocolHost.exe
konnte nicht auf den Prozess zugreifen -> SearchFilterHost.exe


==================== Registry (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13513288 2013-03-29] (Realtek Semiconductor)
HKLM\...\Run: [IAStorIcon] => C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [286704 2013-04-30] (Intel Corporation)
HKLM\...\Run: [XFast LAN] => C:\Program Files\ASRock\XFast LAN\cFosSpeed.exe [2009952 2013-05-31] (cFos Software GmbH)
HKLM-x32\...\Run: [USB3MON] => C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe [292848 2013-04-11] (Intel Corporation)
HKLM-x32\...\Run: [PMSpeed9.37.00] => C:\Program Files (x86)\Plustek\Software\PageManager 9\PMSpeed.EXE [125248 2013-05-13] (NewSoft Technology Corporation)
HKLM-x32\...\Run: [Plustek_ScannerSearchTool] => C:\Program Files (x86)\Plustek\Scanner Search Tool\Scanner Search Tool.exe [1662976 2013-09-14] (Scanner Search Tool)
HKLM-x32\...\Run: [DocAction_678U] => C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\DocuAction.exe [211456 2013-07-29] ()
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [597552 2015-08-04] (Oracle Corporation)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <===== ACHTUNG
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\...\Run: [] => [X]
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\...\Run: [Sync2] => C:\Program Files (x86)\Tools\Outlook synchronisieren\Sync2.exe [2807304 2008-12-08] (4Team Corporation)
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\...\Policies\system: [DisableTaskMgr] 2
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\...\Policies\Explorer: [NoCDBurning] 1
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\...\MountPoints2: {2778c6c7-819e-11e4-a6b9-806e6f6e6963} - D:\ASRSetup.exe
IFEO\AdAwareDesktop.exe: [Debugger] svchost.exe
IFEO\AdAwareService.exe: [Debugger] svchost.exe
IFEO\AdAwareTray.exe: [Debugger] svchost.exe
IFEO\AgentSvc.exe: [Debugger] svchost.exe
IFEO\AVKWCtlx64.exe: [Debugger] svchost.exe
IFEO\avpmapp.exe: [Debugger] svchost.exe
IFEO\Bav.exe: [Debugger] svchost.exe
IFEO\bavhm.exe: [Debugger] svchost.exe
IFEO\BavSvc.exe: [Debugger] svchost.exe
IFEO\BavTray.exe: [Debugger] svchost.exe
IFEO\BavUpdater.exe: [Debugger] svchost.exe
IFEO\BavWebClient.exe: [Debugger] svchost.exe
IFEO\BDSSVC.EXE: [Debugger] svchost.exe
IFEO\BgScan.exe: [Debugger] svchost.exe
IFEO\BullGuardBhvScanner.exe: [Debugger] svchost.exe
IFEO\BullGuardUpdate.exe: [Debugger] svchost.exe
IFEO\BullGuarScanner.exe: [Debugger] svchost.exe
IFEO\capinfos.exe: [Debugger] svchost.exe
IFEO\CONSCTLX.EXE: [Debugger] svchost.exe
IFEO\coreFrameworkHost.exe: [Debugger] svchost.exe
IFEO\coreServiceShell.exe: [Debugger] svchost.exe
IFEO\dragon_updater.exe: [Debugger] svchost.exe
IFEO\dumpcap.exe: [Debugger] svchost.exe
IFEO\econceal.exe: [Debugger] svchost.exe
IFEO\econser.exe: [Debugger] svchost.exe
IFEO\editcap.exe: [Debugger] svchost.exe
IFEO\escanmon.exe: [Debugger] svchost.exe
IFEO\escanpro.exe: [Debugger] svchost.exe
IFEO\freshclamwrap.exe: [Debugger] svchost.exe
IFEO\FSHDLL64.exe: [Debugger] svchost.exe
IFEO\fshoster32.exe: [Debugger] svchost.exe
IFEO\fsorsp.exe: [Debugger] svchost.exe
IFEO\GdBgInx64.exe: [Debugger] svchost.exe
IFEO\GDKBFltExe32.exe: [Debugger] svchost.exe
IFEO\GDSC.exe: [Debugger] svchost.exe
IFEO\GDScan.exe: [Debugger] svchost.exe
IFEO\guardxkickoff_x64.exe: [Debugger] svchost.exe
IFEO\iptray.exe: [Debugger] svchost.exe
IFEO\K7AVScan.exe: [Debugger] svchost.exe
IFEO\K7CrvSvc.exe: [Debugger] svchost.exe
IFEO\K7EmlPxy.EXE: [Debugger] svchost.exe
IFEO\K7FWSrvc.exe: [Debugger] svchost.exe
IFEO\K7PSSrvc.exe: [Debugger] svchost.exe
IFEO\K7RTScan.exe: [Debugger] svchost.exe
IFEO\K7SysMon.Exe: [Debugger] svchost.exe
IFEO\K7TSecurity.exe: [Debugger] svchost.exe
IFEO\K7TSMain.exe: [Debugger] svchost.exe
IFEO\K7TSMngr.exe: [Debugger] svchost.exe
IFEO\LittleHook.exe: [Debugger] svchost.exe
IFEO\MCS-Uninstall.exe: [Debugger] svchost.exe
IFEO\MCShieldCCC.exe: [Debugger] svchost.exe
IFEO\MCShieldDS.exe: [Debugger] svchost.exe
IFEO\MCShieldRTM.exe: [Debugger] svchost.exe
IFEO\mergecap.exe: [Debugger] svchost.exe
IFEO\MWAGENT.EXE: [Debugger] svchost.exe
IFEO\MWASER.EXE: [Debugger] svchost.exe
IFEO\nanoav.exe: [Debugger] svchost.exe
IFEO\nanosvc.exe: [Debugger] svchost.exe
IFEO\nfservice.exe: [Debugger] svchost.exe
IFEO\njeeves2.exe: [Debugger] svchost.exe
IFEO\nnf.exe: [Debugger] svchost.exe
IFEO\NS.exe: [Debugger] svchost.exe
IFEO\nseupdatesvc.exe: [Debugger] svchost.exe
IFEO\nvcsvc.exe: [Debugger] svchost.exe
IFEO\nvoy.exe: [Debugger] svchost.exe
IFEO\nwscmon.exe: [Debugger] svchost.exe
IFEO\OPSSVC.EXE: [Debugger] svchost.exe
IFEO\op_mon.exe: [Debugger] svchost.exe
IFEO\ProcessHacker.exe: [Debugger] svchost.exe
IFEO\PSUAMain.exe: [Debugger] svchost.exe
IFEO\PSUAService.exe: [Debugger] svchost.exe
IFEO\PtSessionAgent.exe: [Debugger] svchost.exe
IFEO\PtSvcHost.exe: [Debugger] svchost.exe
IFEO\PtWatchDog.exe: [Debugger] svchost.exe
IFEO\rawshark.exe: [Debugger] svchost.exe
IFEO\SAPISSVC.EXE: [Debugger] svchost.exe
IFEO\SASCore64.exe: [Debugger] svchost.exe
IFEO\SASTask.exe: [Debugger] svchost.exe
IFEO\SBAMSvc.exe: [Debugger] svchost.exe
IFEO\SBAMTray.exe: [Debugger] svchost.exe
IFEO\SBPIMSvc.exe: [Debugger] svchost.exe
IFEO\scproxysrv.exe: [Debugger] svchost.exe
IFEO\ScSecSvc.exe: [Debugger] svchost.exe
IFEO\SDFSSvc.exe: [Debugger] svchost.exe
IFEO\SDScan.exe: [Debugger] svchost.exe
IFEO\SDTray.exe: [Debugger] svchost.exe
IFEO\SDWelcome.exe: [Debugger] svchost.exe
IFEO\SSUpdate64.exe: [Debugger] svchost.exe
IFEO\SUPERDelete.exe: [Debugger] svchost.exe
IFEO\text2pcap.exe: [Debugger] svchost.exe
IFEO\TRAYICOS.EXE: [Debugger] svchost.exe
IFEO\TRAYSSER.EXE: [Debugger] svchost.exe
IFEO\trigger.exe: [Debugger] svchost.exe
IFEO\tshark.exe: [Debugger] svchost.exe
IFEO\uiSeAgnt.exe: [Debugger] svchost.exe
IFEO\uiUpdateTray.exe: [Debugger] svchost.exe
IFEO\uiWatchDog.exe: [Debugger] svchost.exe
IFEO\uiWinMgr.exe: [Debugger] svchost.exe
IFEO\UnThreat.exe: [Debugger] svchost.exe
IFEO\utsvc.exe: [Debugger] svchost.exe
IFEO\V3Main.exe: [Debugger] svchost.exe
IFEO\V3Medic.exe: [Debugger] svchost.exe
IFEO\V3Proxy.exe: [Debugger] svchost.exe
IFEO\V3SP.exe: [Debugger] svchost.exe
IFEO\V3Svc.exe: [Debugger] svchost.exe
IFEO\V3Up.exe: [Debugger] svchost.exe
IFEO\VIEWTCP.EXE: [Debugger] svchost.exe
IFEO\VIPREUI.exe: [Debugger] svchost.exe
IFEO\WebCompanion.exe: [Debugger] svchost.exe
IFEO\zlhh.exe: [Debugger] svchost.exe
GroupPolicy\User: Beschränkung <======= ACHTUNG
GroupPolicyScripts: Beschränkung <======= ACHTUNG

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{5C4C30FB-BC82-4490-B66D-3828A8ECDCDC}: [DhcpNameServer] 192.168.178.1

Internet Explorer:
==================
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <======= ACHTUNG
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.dell.com
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ineltron.de/
hxxp://semimart.net/
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_60\bin\ssv.dll [2015-09-04] (Oracle Corporation)
BHO-x32: Foxit Phantom Create PDF ToolBar Helper -> {A5DD10F7-5ABB-4EEF-B4C8-6748D44DAF2A} -> C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\Creator\IEAddin\IEAddin.dll [2016-06-21] ()
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_60\bin\jp2ssv.dll [2015-09-04] (Oracle Corporation)
Toolbar: HKLM-x32 - Foxit Phantom Create PDF ToolBar - {BFD9D8A8-57FF-488A-B919-065EC77CF82F} - C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\Creator\IEAddin\IEAddin.dll [2016-06-21] ()

FireFox:
========
FF DefaultProfile: cn0vrd19.default
FF ProfilePath: C:\Users\inel-eins\AppData\Roaming\Mozilla\Firefox\Profiles\cn0vrd19.default [2016-10-28]
FF Session Restore: Mozilla\Firefox\Profiles\cn0vrd19.default -> ist aktiviert.
FF Extension: (Tradesignal Online Chart) - C:\Users\inel-eins\AppData\Roaming\Mozilla\Firefox\Profiles\cn0vrd19.default\Extensions\{1acd747e-8470-11db-96a9-00e08161165f} [2016-09-20]
FF SearchPlugin: C:\Users\inel-eins\AppData\Roaming\Mozilla\Firefox\Profiles\cn0vrd19.default\searchplugins\google-encrypted.xml [2015-07-07]
FF Plugin: @microsoft.com/GENUINE -> C:\Windows\system32\Wat\npWatWeb.dll [2015-01-12] (Microsoft Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/pdf -> C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2016-05-30] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2016-05-30] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2016-05-30] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2016-05-30] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files\pdf\Foxit\Reader\plugins\npFoxitReaderPlugin.dll [2013-07-03] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files\pdf\Foxit\Reader\plugins\npFoxitReaderPlugin.dll [2013-07-03] (Foxit Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=3.0.72 -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll [2013-03-12] (Intel Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll [2013-03-12] (Intel Corporation)
FF Plugin-x32: @java.com/DTPlugin,version=11.60.2 -> C:\Program Files (x86)\Java\jre1.8.0_60\bin\dtplugin\npDeployJava1.dll [2015-09-04] (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=11.60.2 -> C:\Program Files (x86)\Java\jre1.8.0_60\bin\plugin2\npjp2.dll [2015-09-04] (Oracle Corporation)
FF Plugin-x32: @microsoft.com/GENUINE -> C:\Windows\system32\Wat\npWatWeb.dll [2015-01-12] (Microsoft Corporation)
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Firefox\firefox.exe

Chrome:
=======
CHR HKLM\...\Chrome\Extension: [cifnddnffldieaamihfkhkdgnbhfmaci] - C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\\plugins\Creator\ChromeAddin\ChromeAddin.crx [2016-06-23]
CHR HKLM-x32\...\Chrome\Extension: [cifnddnffldieaamihfkhkdgnbhfmaci] - C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\\plugins\Creator\ChromeAddin\ChromeAddin.crx [2016-06-23]

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 ABBYY.Licensing.FineReader.Sprint.9.0; C:\Program Files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [764216 2013-08-15] (ABBYY Production LLC)
R2 cFosSpeedS; C:\Program Files\ASRock\XFast LAN\spd.exe [652640 2013-05-31] (cFos Software GmbH)
R2 FoxitCloudUpdateService; C:\Program Files\pdf\Foxit\Reader\Foxit Cloud\FCUpdateService.exe [243880 2015-01-16] (Foxit Software Inc.)
R2 FoxitPhantomService; C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\FoxitConnectedPDFService.exe [1647808 2016-06-21] (Foxit Software Inc.)
R2 IAStorDataMgrSvc; C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [15344 2013-04-30] (Intel Corporation)
R2 Intel(R) Capability Licensing Service Interface; C:\Program Files\Intel\iCLS Client\HeciServer.exe [731648 2013-02-13] (Intel(R) Corporation) [Datei ist nicht signiert]
S3 Intel(R) Capability Licensing Service TCP IP Interface; C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [820184 2013-02-13] (Intel(R) Corporation)
R2 Intel(R) ME Service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe [131544 2013-03-12] (Intel Corporation)
S3 iumsvc; C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe [177376 2016-08-12] (Intel Corporation)
R2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [169432 2013-03-12] (Intel Corporation)
R2 lmhosts; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R2 lmhosts; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
R2 MBAMScheduler; C:\Program Files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbamscheduler.exe [1514464 2016-03-10] (Malwarebytes)
R2 MBAMService; C:\Program Files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbamservice.exe [1136608 2016-03-10] (Malwarebytes)
R2 NlaSvc; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R2 NlaSvc; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
R2 nsi; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R2 nsi; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
R0 iaStorF; C:\Windows\System32\DRIVERS\iaStorF.sys [28656 2013-04-30] (Intel Corporation)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [27008 2016-03-10] (Malwarebytes)
R3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [192216 2016-10-28] (Malwarebytes)
R3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [64896 2016-03-10] (Malwarebytes Corporation)
R3 NUServer64; C:\Windows\System32\DRIVERS\NUServer64.sys [254464 2011-10-27] (Elite Silicon Technology Inc.)
R3 NUServer64; C:\Windows\SysWOW64\DRIVERS\NUServer64.sys [254464 2011-10-27] (Elite Silicon Technology Inc.)
R3 NUS_Bus64; C:\Windows\System32\DRIVERS\NUS_Bus64.sys [34816 2011-10-14] (Elite Silicon Technology Inc.)
R3 NUS_Bus64; C:\Windows\SysWOW64\DRIVERS\NUS_Bus64.sys [34816 2011-10-14] (Elite Silicon Technology Inc.)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-10-28 18:09 - 2016-10-28 18:09 - 00020221 _____ C:\Users\inel-eins\Desktop\FRST.txt
2016-10-28 18:08 - 2016-10-28 18:09 - 00000000 ____D C:\FRST
2016-10-28 18:08 - 2016-10-28 18:08 - 02407936 _____ (Farbar) C:\Users\inel-eins\Desktop\FRST64.exe
2016-10-27 19:51 - 2016-10-27 20:02 - 00000000 ____D C:\_Unsere Daten
2016-10-27 19:49 - 2016-10-28 15:15 - 00000000 ___RD C:\Datenblätter
2016-10-27 19:27 - 2016-10-27 19:48 - 00000000 ____D C:\vom Cerber am 27.10.16 verschlüsselt
2016-10-27 17:35 - 2016-10-27 17:50 - 00064568 _____ C:\Windows\ntbtlog.txt
2016-10-27 02:00 - 2016-10-27 02:00 - 00115662 _____ C:\Users\inel-eins\Documents\GZj-WmAfHB.bf61
2016-10-27 02:00 - 2016-10-27 02:00 - 00063083 _____ C:\Users\inel-eins\Downloads\README.hta
2016-10-27 02:00 - 2016-10-27 02:00 - 00063083 _____ C:\Users\inel-eins\Documents\README.hta
2016-10-27 02:00 - 2016-10-27 02:00 - 00053682 _____ C:\Users\inel-eins\Documents\xfThCb6f40.bf61
2016-10-27 02:00 - 2016-10-27 02:00 - 00051122 _____ C:\Users\inel-eins\Documents\vr8SoRasjx.bf61
2016-10-27 02:00 - 2016-10-27 02:00 - 00046552 _____ C:\Users\inel-eins\Downloads\s0ysMdmekF.bf61
2016-10-27 02:00 - 2016-10-27 02:00 - 00015686 _____ C:\Users\inel-eins\Documents\vUTIbCSTzP.bf61
2016-10-27 02:00 - 2016-10-27 02:00 - 00015253 _____ C:\Users\inel-eins\Documents\MRj79iKyO6.bf61
2016-10-27 02:00 - 2016-10-27 02:00 - 00015038 _____ C:\Users\inel-eins\Documents\HjvgJiGC7K.bf61
2016-10-27 02:00 - 2016-10-27 02:00 - 00014652 _____ C:\Users\inel-eins\Documents\VEZrVVo91I.bf61
2016-10-27 02:00 - 2016-10-27 02:00 - 00014371 _____ C:\Users\inel-eins\Documents\OTdgfeewjH.bf61
2016-10-24 08:53 - 2016-10-24 16:31 - 00014167 _____ C:\Users\inel-eins\Desktop\wisemail_23909-rnowak (2).xlsx
2016-10-21 08:17 - 2016-10-27 11:43 - 00000000 ____D C:\Program Files (x86)\Firefox
2016-10-17 10:47 - 2016-10-18 16:58 - 00014944 _____ C:\Users\inel-eins\Desktop\wisemail_3876-rnowak (2).xlsx
2016-10-13 15:00 - 2016-10-18 18:48 - 00090112 _____ C:\Users\inel-eins\Desktop\bl 13.10.2016.xls
2016-10-12 16:34 - 2016-09-30 22:13 - 00394448 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2016-10-12 16:34 - 2016-09-30 21:28 - 00346312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iedkcs32.dll
2016-10-12 16:34 - 2016-09-30 17:37 - 05548264 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2016-10-12 16:34 - 2016-09-30 17:20 - 04000488 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2016-10-12 16:34 - 2016-09-30 17:20 - 03944680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2016-10-12 16:34 - 2016-09-30 09:55 - 25765376 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2016-10-12 16:34 - 2016-09-30 08:41 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2016-10-12 16:34 - 2016-09-30 08:40 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2016-10-12 16:34 - 2016-09-30 08:26 - 00066560 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2016-10-12 16:34 - 2016-09-30 08:25 - 02895360 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2016-10-12 16:34 - 2016-09-30 08:25 - 00576000 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2016-10-12 16:34 - 2016-09-30 08:25 - 00417792 _____ (Microsoft Corporation) C:\Windows\system32\html.iec
2016-10-12 16:34 - 2016-09-30 08:25 - 00088064 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2016-10-12 16:34 - 2016-09-30 08:25 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2016-10-12 16:34 - 2016-09-30 08:18 - 00054784 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2016-10-12 16:34 - 2016-09-30 08:17 - 00034304 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2016-10-12 16:34 - 2016-09-30 08:14 - 00615936 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2016-10-12 16:34 - 2016-09-30 08:13 - 00144384 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2016-10-12 16:34 - 2016-09-30 08:13 - 00114688 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2016-10-12 16:34 - 2016-09-30 08:12 - 00817664 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2016-10-12 16:34 - 2016-09-30 08:12 - 00814080 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2016-10-12 16:34 - 2016-09-30 08:09 - 06048256 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2016-10-12 16:34 - 2016-09-30 08:05 - 00968704 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2016-10-12 16:34 - 2016-09-30 08:02 - 00489984 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2016-10-12 16:34 - 2016-09-30 07:55 - 00077824 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2016-10-12 16:34 - 2016-09-30 07:54 - 02724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2016-10-12 16:34 - 2016-09-30 07:54 - 00107520 _____ (Microsoft Corporation) C:\Windows\system32\inseng.dll
2016-10-12 16:34 - 2016-09-30 07:51 - 00199680 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2016-10-12 16:34 - 2016-09-30 07:50 - 00092160 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2016-10-12 16:34 - 2016-09-30 07:47 - 20306944 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2016-10-12 16:34 - 2016-09-30 07:47 - 00315392 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2016-10-12 16:34 - 2016-09-30 07:46 - 00152064 _____ (Microsoft Corporation) C:\Windows\system32\occache.dll
2016-10-12 16:34 - 2016-09-30 07:42 - 00498688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2016-10-12 16:34 - 2016-09-30 07:42 - 00341504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\html.iec
2016-10-12 16:34 - 2016-09-30 07:42 - 00062464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2016-10-12 16:34 - 2016-09-30 07:42 - 00047616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieetwproxystub.dll
2016-10-12 16:34 - 2016-09-30 07:41 - 00064000 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MshtmlDac.dll
2016-10-12 16:34 - 2016-09-30 07:38 - 02286592 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2016-10-12 16:34 - 2016-09-30 07:36 - 00047104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2016-10-12 16:34 - 2016-09-30 07:35 - 00262144 _____ (Microsoft Corporation) C:\Windows\system32\webcheck.dll
2016-10-12 16:34 - 2016-09-30 07:35 - 00030720 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2016-10-12 16:34 - 2016-09-30 07:33 - 00724992 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2016-10-12 16:34 - 2016-09-30 07:33 - 00476160 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2016-10-12 16:34 - 2016-09-30 07:32 - 00806912 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2016-10-12 16:34 - 2016-09-30 07:32 - 00663552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2016-10-12 16:34 - 2016-09-30 07:32 - 00620032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2016-10-12 16:34 - 2016-09-30 07:32 - 00115712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2016-10-12 16:34 - 2016-09-30 07:31 - 02131456 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2016-10-12 16:34 - 2016-09-30 07:31 - 01359360 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2016-10-12 16:34 - 2016-09-30 07:24 - 00416256 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtmsft.dll
2016-10-12 16:34 - 2016-09-30 07:21 - 15257088 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2016-10-12 16:34 - 2016-09-30 07:19 - 00091136 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inseng.dll
2016-10-12 16:34 - 2016-09-30 07:19 - 00060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\JavaScriptCollectionAgent.dll
2016-10-12 16:34 - 2016-09-30 07:17 - 02920960 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2016-10-12 16:34 - 2016-09-30 07:17 - 00168960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrating.dll
2016-10-12 16:34 - 2016-09-30 07:15 - 00076288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2016-10-12 16:34 - 2016-09-30 07:14 - 00279040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtrans.dll
2016-10-12 16:34 - 2016-09-30 07:13 - 00130048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\occache.dll
2016-10-12 16:34 - 2016-09-30 07:12 - 04608512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2016-10-12 16:34 - 2016-09-30 07:07 - 00230400 _____ (Microsoft Corporation) C:\Windows\SysWOW64\webcheck.dll
2016-10-12 16:34 - 2016-09-30 07:05 - 02055680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2016-10-12 16:34 - 2016-09-30 07:05 - 01544192 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2016-10-12 16:34 - 2016-09-30 07:05 - 01155072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmlmedia.dll
2016-10-12 16:34 - 2016-09-30 07:05 - 00693248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2016-10-12 16:34 - 2016-09-30 07:03 - 13653504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2016-10-12 16:34 - 2016-09-30 06:54 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2016-10-12 16:34 - 2016-09-30 06:46 - 02444288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2016-10-12 16:34 - 2016-09-30 06:43 - 01312768 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2016-10-12 16:34 - 2016-09-30 06:42 - 00710144 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2016-10-12 16:34 - 2016-09-15 17:30 - 00976896 _____ (Microsoft Corporation) C:\Windows\system32\inetcomm.dll
2016-10-12 16:34 - 2016-09-15 17:30 - 00084480 _____ (Microsoft Corporation) C:\Windows\system32\INETRES.dll
2016-10-12 16:34 - 2016-09-15 17:15 - 00741888 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcomm.dll
2016-10-12 16:34 - 2016-09-15 17:15 - 00084480 _____ (Microsoft Corporation) C:\Windows\SysWOW64\INETRES.dll
2016-10-12 16:34 - 2016-09-12 23:13 - 00154856 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ksecpkg.sys
2016-10-12 16:34 - 2016-09-12 23:13 - 00095464 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ksecdd.sys
2016-10-12 16:34 - 2016-09-12 23:08 - 01465344 _____ (Microsoft Corporation) C:\Windows\system32\lsasrv.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 01212928 _____ (Microsoft Corporation) C:\Windows\system32\rpcrt4.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00730624 _____ (Microsoft Corporation) C:\Windows\system32\kerberos.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00690688 _____ (Microsoft Corporation) C:\Windows\system32\adtschema.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00463872 _____ (Microsoft Corporation) C:\Windows\system32\certcli.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00345600 _____ (Microsoft Corporation) C:\Windows\system32\schannel.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00316416 _____ (Microsoft Corporation) C:\Windows\system32\msv1_0.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00312320 _____ (Microsoft Corporation) C:\Windows\system32\ncrypt.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00210432 _____ (Microsoft Corporation) C:\Windows\system32\wdigest.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00190464 _____ (Microsoft Corporation) C:\Windows\system32\rpchttp.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00146432 _____ (Microsoft Corporation) C:\Windows\system32\msaudite.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00135680 _____ (Microsoft Corporation) C:\Windows\system32\sspicli.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00107520 _____ (Microsoft Corporation) C:\Windows\system32\adsmsext.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00086528 _____ (Microsoft Corporation) C:\Windows\system32\TSpkg.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00060416 _____ (Microsoft Corporation) C:\Windows\system32\msobjs.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00043520 _____ (Microsoft Corporation) C:\Windows\system32\cryptbase.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00028672 _____ (Microsoft Corporation) C:\Windows\system32\sspisrv.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00028160 _____ (Microsoft Corporation) C:\Windows\system32\secur32.dll
2016-10-12 16:34 - 2016-09-12 23:08 - 00022016 _____ (Microsoft Corporation) C:\Windows\system32\credssp.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00690688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\adtschema.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00666112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rpcrt4.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00553472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\kerberos.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00342528 _____ (Microsoft Corporation) C:\Windows\SysWOW64\certcli.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00260608 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msv1_0.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00254464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\schannel.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00223232 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ncrypt.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00172032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wdigest.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00146432 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msaudite.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00141312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rpchttp.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00096768 _____ (Microsoft Corporation) C:\Windows\SysWOW64\sspicli.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00076800 _____ (Microsoft Corporation) C:\Windows\SysWOW64\adsmsext.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00065536 _____ (Microsoft Corporation) C:\Windows\SysWOW64\TSpkg.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msobjs.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00022016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\secur32.dll
2016-10-12 16:34 - 2016-09-12 22:49 - 00017408 _____ (Microsoft Corporation) C:\Windows\SysWOW64\credssp.dll
2016-10-12 16:34 - 2016-09-12 22:39 - 00064000 _____ (Microsoft Corporation) C:\Windows\system32\auditpol.exe
2016-10-12 16:34 - 2016-09-12 22:37 - 03218944 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2016-10-12 16:34 - 2016-09-12 22:32 - 00291328 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb10.sys
2016-10-12 16:34 - 2016-09-12 22:32 - 00159744 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb.sys
2016-10-12 16:34 - 2016-09-12 22:32 - 00129536 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb20.sys
2016-10-12 16:34 - 2016-09-12 22:31 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\lsass.exe
2016-10-12 16:34 - 2016-09-12 22:29 - 00050176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\auditpol.exe
2016-10-12 16:34 - 2016-09-12 22:25 - 00036352 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptbase.dll
2016-10-12 16:34 - 2016-09-12 21:08 - 01251328 _____ (Microsoft Corporation) C:\Windows\SysWOW64\DWrite.dll
2016-10-12 16:34 - 2016-09-12 20:43 - 01648128 _____ (Microsoft Corporation) C:\Windows\system32\DWrite.dll
2016-10-12 16:34 - 2016-09-12 20:43 - 01180160 _____ (Microsoft Corporation) C:\Windows\system32\FntCache.dll
2016-10-12 16:34 - 2016-09-10 18:19 - 03649536 _____ (Microsoft Corporation) C:\Windows\system32\MSVidCtl.dll
2016-10-12 16:34 - 2016-09-10 17:53 - 02291712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MSVidCtl.dll
2016-10-12 16:34 - 2016-09-09 20:29 - 00631176 _____ (Microsoft Corporation) C:\Windows\system32\winresume.efi
2016-10-12 16:34 - 2016-09-09 20:26 - 00706280 _____ (Microsoft Corporation) C:\Windows\system32\winload.efi
2016-10-12 16:34 - 2016-09-09 20:23 - 01732864 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 01163264 _____ (Microsoft Corporation) C:\Windows\system32\kernel32.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00880640 _____ (Microsoft Corporation) C:\Windows\system32\advapi32.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00503808 _____ (Microsoft Corporation) C:\Windows\system32\srcore.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00419840 _____ (Microsoft Corporation) C:\Windows\system32\KernelBase.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00362496 _____ (Microsoft Corporation) C:\Windows\system32\wow64win.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00243712 _____ (Microsoft Corporation) C:\Windows\system32\wow64.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00215552 _____ (Microsoft Corporation) C:\Windows\system32\winsrv.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00063488 _____ (Microsoft Corporation) C:\Windows\system32\setbcdlocale.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00059904 _____ (Microsoft Corporation) C:\Windows\system32\appidapi.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00050176 _____ (Microsoft Corporation) C:\Windows\system32\srclient.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00044032 _____ (Microsoft Corporation) C:\Windows\system32\csrsrv.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00034816 _____ (Microsoft Corporation) C:\Windows\system32\appidsvc.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00016384 _____ (Microsoft Corporation) C:\Windows\system32\ntvdm64.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00013312 _____ (Microsoft Corporation) C:\Windows\system32\wow64cpu.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00006656 _____ (Microsoft Corporation) C:\Windows\system32\apisetschema.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00006144 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-security-base-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00005120 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-file-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00004608 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00004608 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-processthreads-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-synch-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-localregistry-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-localization-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-misc-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-memory-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-heap-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-util-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-string-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-profile-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-io-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-interlocked-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-handle-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-fibers-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-delayload-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-debug-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-datetime-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-console-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 20:01 - 01314112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntdll.dll
2016-10-12 16:34 - 2016-09-09 20:00 - 01114112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\kernel32.dll
2016-10-12 16:34 - 2016-09-09 20:00 - 00275456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\KernelBase.dll
2016-10-12 16:34 - 2016-09-09 20:00 - 00043008 _____ (Microsoft Corporation) C:\Windows\SysWOW64\srclient.dll
2016-10-12 16:34 - 2016-09-09 20:00 - 00005120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wow32.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00644096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\advapi32.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00050688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\appidapi.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00006656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\apisetschema.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00005120 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-file-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00004608 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processthreads-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-sysinfo-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-synch-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-misc-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localregistry-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localization-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processenvironment-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-namedpipe-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-memory-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-libraryloader-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-interlocked-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-heap-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-string-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-rtlsupport-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-profile-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-io-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-handle-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-fibers-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-errorhandling-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-delayload-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-debug-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-datetime-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-console-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:51 - 00148480 _____ (Microsoft Corporation) C:\Windows\system32\appidpolicyconverter.exe
2016-10-12 16:34 - 2016-09-09 19:51 - 00062464 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\appid.sys
2016-10-12 16:34 - 2016-09-09 19:51 - 00017920 _____ (Microsoft Corporation) C:\Windows\system32\appidcertstorecheck.exe
2016-10-12 16:34 - 2016-09-09 19:48 - 00338432 _____ (Microsoft Corporation) C:\Windows\system32\conhost.exe
2016-10-12 16:34 - 2016-09-09 19:47 - 00296960 _____ (Microsoft Corporation) C:\Windows\system32\rstrui.exe
2016-10-12 16:34 - 2016-09-09 19:43 - 00112640 _____ (Microsoft Corporation) C:\Windows\system32\smss.exe
2016-10-12 16:34 - 2016-09-09 19:38 - 00025600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\setup16.exe
2016-10-12 16:34 - 2016-09-09 19:38 - 00014336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntvdm64.dll
2016-10-12 16:34 - 2016-09-09 19:38 - 00007680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\instnm.exe
2016-10-12 16:34 - 2016-09-09 19:38 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\user.exe
2016-10-12 16:34 - 2016-09-09 19:37 - 00006144 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-security-base-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:37 - 00004608 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-threadpool-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:37 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-xstate-l1-1-0.dll
2016-10-12 16:34 - 2016-09-09 19:37 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-util-l1-1-0.dll
2016-10-12 16:34 - 2016-09-08 22:34 - 00263680 _____ (Microsoft Corporation) C:\Windows\system32\WebClnt.dll
2016-10-12 16:34 - 2016-09-08 22:34 - 00208896 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WebClnt.dll
2016-10-12 16:34 - 2016-09-08 22:34 - 00108544 _____ (Microsoft Corporation) C:\Windows\system32\davclnt.dll
2016-10-12 16:34 - 2016-09-08 22:34 - 00087040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\davclnt.dll
2016-10-12 16:34 - 2016-09-08 16:55 - 00142336 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxdav.sys
2016-10-12 16:34 - 2016-09-08 16:55 - 00106496 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\dfsc.sys
2016-10-12 16:34 - 2016-08-16 20:47 - 00419640 _____ C:\Windows\SysWOW64\locale.nls
2016-10-12 16:34 - 2016-08-16 20:47 - 00419640 _____ C:\Windows\system32\locale.nls
2016-10-12 16:34 - 2016-08-12 19:02 - 14632960 _____ (Microsoft Corporation) C:\Windows\system32\wmp.dll
2016-10-12 16:34 - 2016-08-12 19:02 - 12574720 _____ (Microsoft Corporation) C:\Windows\system32\wmploc.DLL
2016-10-12 16:34 - 2016-08-12 19:02 - 00009728 _____ (Microsoft Corporation) C:\Windows\system32\spwmp.dll
2016-10-12 16:34 - 2016-08-12 19:02 - 00005120 _____ (Microsoft Corporation) C:\Windows\system32\msdxm.ocx
2016-10-12 16:34 - 2016-08-12 19:02 - 00005120 _____ (Microsoft Corporation) C:\Windows\system32\dxmasf.dll
2016-10-12 16:34 - 2016-08-12 18:47 - 12574208 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wmploc.DLL
2016-10-12 16:34 - 2016-08-12 18:47 - 11410432 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wmp.dll
2016-10-12 16:34 - 2016-08-12 18:31 - 00008192 _____ (Microsoft Corporation) C:\Windows\SysWOW64\spwmp.dll
2016-10-12 16:34 - 2016-08-12 18:31 - 00004096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msdxm.ocx
2016-10-12 16:34 - 2016-08-12 18:31 - 00004096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxmasf.dll
2016-10-12 16:34 - 2016-08-12 18:26 - 00461312 _____ (Microsoft Corporation) C:\Windows\system32\scavengeui.dll
2016-10-12 16:34 - 2016-08-06 17:31 - 02023424 _____ (Microsoft Corporation) C:\Windows\system32\WsmSvc.dll
2016-10-12 16:34 - 2016-08-06 17:31 - 00347136 _____ (Microsoft Corporation) C:\Windows\system32\WSManMigrationPlugin.dll
2016-10-12 16:34 - 2016-08-06 17:31 - 00310784 _____ (Microsoft Corporation) C:\Windows\system32\WsmWmiPl.dll
2016-10-12 16:34 - 2016-08-06 17:31 - 00182272 _____ (Microsoft Corporation) C:\Windows\system32\WsmAuto.dll
2016-10-12 16:34 - 2016-08-06 17:31 - 00054272 _____ (Microsoft Corporation) C:\Windows\system32\WsmRes.dll
2016-10-12 16:34 - 2016-08-06 17:31 - 00012800 _____ (Microsoft Corporation) C:\Windows\system32\wsmplpxy.dll
2016-10-12 16:34 - 2016-08-06 17:15 - 01178112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmSvc.dll
2016-10-12 16:34 - 2016-08-06 17:15 - 00249344 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WSManMigrationPlugin.dll
2016-10-12 16:34 - 2016-08-06 17:15 - 00214016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmWmiPl.dll
2016-10-12 16:34 - 2016-08-06 17:15 - 00146944 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmAuto.dll
2016-10-12 16:34 - 2016-08-06 17:15 - 00054272 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmRes.dll
2016-10-12 16:34 - 2016-08-06 17:01 - 00266752 _____ (Microsoft Corporation) C:\Windows\system32\WSManHTTPConfig.exe
2016-10-12 16:34 - 2016-08-06 17:01 - 00013824 _____ (Microsoft Corporation) C:\Windows\system32\wsmprovhost.exe
2016-10-12 16:34 - 2016-08-06 16:53 - 00199168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WSManHTTPConfig.exe
2016-10-12 16:34 - 2016-08-06 16:53 - 00012288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wsmprovhost.exe
2016-10-12 16:34 - 2016-08-06 16:53 - 00010240 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wsmplpxy.dll
2016-10-12 16:34 - 2016-06-14 19:21 - 00094440 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mountmgr.sys
2016-10-12 16:34 - 2016-06-14 19:16 - 04121600 _____ (Microsoft Corporation) C:\Windows\system32\mf.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 01573888 _____ (Microsoft Corporation) C:\Windows\system32\quartz.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 01483264 _____ (Microsoft Corporation) C:\Windows\system32\crypt32.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 01202176 _____ (Microsoft Corporation) C:\Windows\system32\drmv2clt.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 01068544 _____ (Microsoft Corporation) C:\Windows\system32\cryptui.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00842240 _____ (Microsoft Corporation) C:\Windows\system32\blackbox.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00782848 _____ (Microsoft Corporation) C:\Windows\system32\wmdrmsdk.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00680448 _____ (Microsoft Corporation) C:\Windows\system32\audiosrv.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00641024 _____ (Microsoft Corporation) C:\Windows\system32\msscp.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00632320 _____ (Microsoft Corporation) C:\Windows\system32\evr.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00499712 _____ (Microsoft Corporation) C:\Windows\system32\AUDIOKSE.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00497664 _____ (Microsoft Corporation) C:\Windows\system32\drmmgrtn.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00440320 _____ (Microsoft Corporation) C:\Windows\system32\AudioEng.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00433152 _____ (Microsoft Corporation) C:\Windows\system32\mfplat.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00371712 _____ (Microsoft Corporation) C:\Windows\system32\qdvd.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00325632 _____ (Microsoft Corporation) C:\Windows\system32\msnetobj.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00295936 _____ (Microsoft Corporation) C:\Windows\system32\AudioSes.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00284672 _____ (Microsoft Corporation) C:\Windows\system32\EncDump.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00228864 _____ (Microsoft Corporation) C:\Windows\system32\wintrust.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00206848 _____ (Microsoft Corporation) C:\Windows\system32\mfps.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00190976 _____ (Microsoft Corporation) C:\Windows\system32\cryptsvc.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00187904 _____ (Microsoft Corporation) C:\Windows\system32\pcasvc.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00141824 _____ (Microsoft Corporation) C:\Windows\system32\cryptnet.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00081920 _____ (Microsoft Corporation) C:\Windows\system32\cryptsp.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00037376 _____ (Microsoft Corporation) C:\Windows\system32\pcadm.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00011264 _____ (Microsoft Corporation) C:\Windows\system32\msmmsp.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00008704 _____ (Microsoft Corporation) C:\Windows\system32\pcaevts.dll
2016-10-12 16:34 - 2016-06-14 19:16 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\mferror.dll
2016-10-12 16:34 - 2016-06-14 19:11 - 00663552 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\PEAuth.sys
2016-10-12 16:34 - 2016-06-14 17:21 - 03209216 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mf.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 01329664 _____ (Microsoft Corporation) C:\Windows\SysWOW64\quartz.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 01176064 _____ (Microsoft Corporation) C:\Windows\SysWOW64\crypt32.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 01005056 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptui.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00988160 _____ (Microsoft Corporation) C:\Windows\SysWOW64\drmv2clt.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00744960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\blackbox.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00617984 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wmdrmsdk.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00519680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\qdvd.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00504320 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msscp.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00489984 _____ (Microsoft Corporation) C:\Windows\SysWOW64\evr.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00442368 _____ (Microsoft Corporation) C:\Windows\SysWOW64\AUDIOKSE.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00406016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\drmmgrtn.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00374784 _____ (Microsoft Corporation) C:\Windows\SysWOW64\AudioEng.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00354816 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfplat.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00265216 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msnetobj.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00195072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\AudioSes.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00179200 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wintrust.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00145920 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptsvc.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00106496 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptnet.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00103424 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfps.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00080896 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptsp.dll
2016-10-12 16:34 - 2016-06-14 17:21 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mferror.dll
2016-10-12 16:34 - 2016-06-14 17:15 - 00125952 _____ (Microsoft Corporation) C:\Windows\system32\audiodg.exe
2016-10-12 16:34 - 2016-06-14 17:15 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\rrinstaller.exe
2016-10-12 16:34 - 2016-06-14 17:15 - 00024576 _____ (Microsoft Corporation) C:\Windows\system32\mfpmp.exe
2016-10-12 16:34 - 2016-06-14 17:05 - 00050176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rrinstaller.exe
2016-10-12 16:34 - 2016-06-14 17:05 - 00023040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfpmp.exe
2016-10-12 16:34 - 2016-06-14 17:00 - 00011264 _____ (Microsoft Corporation) C:\Windows\system32\pcawrk.exe
2016-10-12 16:34 - 2016-06-14 17:00 - 00009728 _____ (Microsoft Corporation) C:\Windows\system32\pcalua.exe
2016-10-12 16:33 - 2016-07-22 16:58 - 00142336 _____ (Microsoft Corporation) C:\Windows\system32\poqexec.exe
2016-10-12 16:33 - 2016-07-22 16:51 - 00123904 _____ (Microsoft Corporation) C:\Windows\SysWOW64\poqexec.exe
2016-10-10 11:09 - 2016-10-28 10:19 - 00015627 _____ C:\Users\inel-eins\Desktop\wisemail_30515-rnowak.xlsx
2016-10-04 14:16 - 2016-10-13 18:47 - 00016042 _____ C:\Users\inel-eins\Desktop\wisemail_17780-rnowak.xlsx

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-10-28 17:15 - 2014-12-19 21:39 - 00001348 _____ C:\Windows\Tasks\FCG.job
2016-10-28 15:10 - 2014-12-19 21:39 - 00001352 _____ C:\Windows\Tasks\DIDBW.job
2016-10-28 15:09 - 2014-12-23 14:47 - 00192216 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2016-10-28 11:16 - 2014-12-17 21:08 - 00000000 ___RD C:\_00 (Inel-eins)
2016-10-28 09:56 - 2014-12-12 12:26 - 00701206 _____ C:\Windows\system32\perfh007.dat
2016-10-28 09:56 - 2014-12-12 12:26 - 00149500 _____ C:\Windows\system32\perfc007.dat
2016-10-28 09:56 - 2009-07-14 07:13 - 01624730 _____ C:\Windows\system32\PerfStringBackup.INI
2016-10-28 09:56 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\inf
2016-10-28 08:05 - 2009-07-14 06:45 - 00026080 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-10-28 08:05 - 2009-07-14 06:45 - 00026080 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-10-28 07:58 - 2014-12-18 21:42 - 00000000 ____D C:\Users\inel-eins\AppData\Roaming\.oit
2016-10-28 07:57 - 2016-06-27 17:49 - 00000000 ____D C:\ProgramData\Foxit Software
2016-10-28 07:57 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-10-27 19:23 - 2009-07-14 07:37 - 00000000 ____D C:\Windows\DigitalLocker
2016-10-27 17:23 - 2009-07-14 06:57 - 00001547 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk
2016-10-27 11:48 - 2015-02-02 12:22 - 00000000 ____D C:\Program Files (x86)\Opera
2016-10-27 11:43 - 2014-12-12 13:29 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2016-10-27 11:42 - 2014-12-18 21:42 - 00000000 ____D C:\Users\inel-eins\Documents\My PageManager
2016-10-27 11:39 - 2014-12-19 11:45 - 00000000 ____D C:\Users\Public\Documents\ScanDoc
2016-10-26 17:29 - 2010-11-21 05:27 - 00485032 ____N (Microsoft Corporation) C:\Windows\system32\MpSigStub.exe
2016-10-12 21:54 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\rescache
2016-10-12 21:17 - 2009-07-14 06:45 - 00473360 _____ C:\Windows\system32\FNTCACHE.DAT
2016-10-12 21:17 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\SysWOW64\Dism
2016-10-12 21:17 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\system32\Dism
2016-10-12 21:02 - 2014-12-11 22:42 - 00000000 ____D C:\Windows\system32\MRT
2016-10-12 21:00 - 2014-12-11 22:42 - 143495576 ____C (Microsoft Corporation) C:\Windows\system32\MRT.exe
2016-10-05 17:20 - 2016-01-15 19:26 - 00000000 ____D C:\Users\inel-eins\AppData\Local\microtech
2016-09-29 16:18 - 2016-09-19 12:31 - 00018333 _____ C:\Users\inel-eins\Desktop\wisemail_21813-rnowak.xlsx

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2005-07-20 09:00 - 2005-07-20 09:00 - 0243923 _____ () C:\Users\inel-eins\AppData\Roaming\Chaeta.DxC
2014-09-01 10:18 - 2014-09-01 10:18 - 0001248 _____ () C:\Users\inel-eins\AppData\Roaming\DIDBW
2014-09-01 10:18 - 2014-09-01 10:18 - 0002086 _____ () C:\Users\inel-eins\AppData\Roaming\FCG

Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\inel-eins\license.dat


Einige Dateien in TEMP:
====================
C:\Users\inel-eins\AppData\Local\Temp\Foxit Reader Updater.exe
C:\Users\inel-eins\AppData\Local\Temp\jre-8u101-windows-au.exe
C:\Users\inel-eins\AppData\Local\Temp\jre-8u111-windows-au.exe
C:\Users\inel-eins\AppData\Local\Temp\jre-8u31-windows-au.exe
C:\Users\inel-eins\AppData\Local\Temp\jre-8u65-windows-au.exe
C:\Users\inel-eins\AppData\Local\Temp\jre-8u66-windows-au.exe
C:\Users\inel-eins\AppData\Local\Temp\jre-8u71-windows-au.exe
C:\Users\inel-eins\AppData\Local\Temp\jre-8u77-windows-au.exe
C:\Users\inel-eins\AppData\Local\Temp\jre-8u91-windows-au.exe
C:\Users\inel-eins\AppData\Local\Temp\ose00000.exe
C:\Users\inel-eins\AppData\Local\Temp\Quarantine.exe
C:\Users\inel-eins\AppData\Local\Temp\sqlite3.dll
C:\Users\inel-eins\AppData\Local\Temp\System.Data.SQLite.dll
C:\Users\inel-eins\AppData\Local\Temp\System.Data.SQLite1571153e-4103-4412-af89-bf50b758fb6f.dll
C:\Users\inel-eins\AppData\Local\Temp\tu17p84.exe
C:\Users\inel-eins\AppData\Local\Temp\_is1726.exe
C:\Users\inel-eins\AppData\Local\Temp\_isA2E1.exe


==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


ACHTUNG: ==> Auf den BCD konnte nicht zugegriffen werden. der Benutzer ist kein Administrator

==================== Ende von FRST.txt ============================
ADDITION.TXT

Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 26-10-2016
durchgeführt von inel-eins (28-10-2016 18:09:14)
Gestartet von C:\Users\inel-eins\Desktop
Windows 7 Professional Service Pack 1 (X64) (2014-12-11 19:44:52)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Admin auf eins (S-1-5-21-3418458991-977026470-3051313295-1005 - Administrator - Enabled) => C:\Users\Admin auf eins
Administrator (S-1-5-21-3418458991-977026470-3051313295-500 - Administrator - Disabled)
Alfred (S-1-5-21-3418458991-977026470-3051313295-1004 - Limited - Enabled)
Gast (S-1-5-21-3418458991-977026470-3051313295-501 - Limited - Enabled)
inel (S-1-5-21-3418458991-977026470-3051313295-1003 - Limited - Enabled)
eins (S-1-5-21-3418458991-977026470-3051313295-1000 - Limited - Enabled) => C:\Users\eins


==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

4Team Sync2 (HKLM-x32\...\{405A02AA-8AE7-4BEF-A7A6-E03EFB6E1431}) (Version: 1.70.0833 - 4Team Corporation)
ABBYY FineReader 9.0 Sprint (HKLM-x32\...\ABBYY FineReader 9.0 Sprint) (Version: 9.00.90.58241 - ABBYY)
ABBYY FineReader 9.0 Sprint (x32 Version: 9.00.90.58241 - ABBYY) Hidden
büro+ (HKLM-x32\...\{4514B037-355D-4B8E-B9B4-8E71C94D2206}) (Version: 17.0.5600.0 - microtech GmbH)
Corel Graphics Suite 11 (x32 Version: 11 - Corel Corporation) Hidden
CorelDRAW Graphics Suite 11 (HKLM-x32\...\InstallShield_{1C63DD23-6554-4A1F-8D0D-B5A6B49D8015}) (Version: 11 - Corel Corporation)
Foxit Cloud (HKLM-x32\...\{41914D8B-9D6E-4764-A1F9-BC43FB6782C1}_is1) (Version: 2.6.36.116 - Foxit Software Inc.)
Foxit PhantomPDF Standard (HKLM-x32\...\{8576A8CC-3A24-11E6-A6C0-000C29FC3B44}) (Version: 8.0.0.624 - Foxit Software Inc.)
Foxit Reader (HKLM-x32\...\Foxit Reader_is1) (Version: 6.1.5.624 - Foxit Corporation)
FTPRush 2.1.8 (HKLM-x32\...\FTP Rush_is1) (Version: 2.1.8 - wftpserver.com)
Intel(R) Management Engine Components (HKLM-x32\...\{65153EA5-8B6E-43B6-857B-C6E4FC25798A}) (Version: 9.0.0.1323 - Intel Corporation)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.18.10.3186 - Intel Corporation)
Intel(R) Rapid Storage Technology (HKLM\...\{409CB30E-E457-4008-9B1A-ED1B9EA21140}) (Version: 12.6.0.1033 - Intel Corporation)
Intel(R) SDK for OpenCL - CPU Only Runtime Package (HKLM-x32\...\{FCB3772C-B7D0-4933-B1A9-3707EBACC573}) (Version: 3.0.0.66956 - Intel Corporation)
Intel(R) Update Manager (HKLM-x32\...\{7224B7CE-196C-4E2A-A1AE-1D7BF259FD36}) (Version: 3.4.1942 - Intel Corporation)
Intel(R) USB 3.0 eXtensible Host Controller Driver (HKLM-x32\...\{240C3DDD-C5E9-4029-9DF7-95650D040CF2}) (Version: 2.0.0.102 - Intel Corporation)
Java 8 Update 60 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218060F0}) (Version: 8.0.600.27 - Oracle Corporation)
Macromedia Dreamweaver 8 (HKLM-x32\...\{44025BD7-AD10-4769-99AE-6378FD0303D6}) (Version: 8.0.0.2751 - Macromedia)
Macromedia Extension Manager (HKLM-x32\...\{0F022A2E-7022-497D-90A5-0F46746D8275}) (Version: 1.7.270 - Ihr Firmenname)
Malwarebytes Anti-Malware Version 2.0.4.1028 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.4.1028 - Malwarebytes Corporation)
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Extended (HKLM\...\Microsoft .NET Framework 4 Extended) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Office 2007 Service Pack 3 (SP3) (HKLM-x32\...\{91120000-00CA-0000-0000-0000000FF1CE}_SMALLBUSINESSR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}) (Version:  - Microsoft)
Microsoft Office Small Business 2007 (HKLM-x32\...\SMALLBUSINESSR) (Version: 12.0.6612.1000 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}) (Version: 8.0.61000 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 (HKLM-x32\...\{CA8A885F-E95B-3FC6-BB91-F4D9377C7686}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Mozilla Firefox 49.0.2 (x86 de) (HKLM-x32\...\Mozilla Firefox 49.0.2 (x86 de)) (Version: 49.0.2 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 49.0.2.6136 - Mozilla)
Opera Stable 41.0.2353.46 (HKLM-x32\...\Opera 41.0.2353.46) (Version: 41.0.2353.46 - Opera Software)
PDF Password Remover v3.0 (HKLM-x32\...\PDF Password Remover v3.0_is1) (Version:  - VeryPDF.com Inc)
PDF Password Remover v5.0 (HKLM-x32\...\PDF Password Remover v5.0_is1) (Version:  - VeryPDF.com Inc.)
Plustek SmartOffice PN2040 (HKLM-x32\...\{7143F039-D27E-470D-90AD-AE363C4B539E}) (Version: 5.1.0 - Plustek Inc.)
Presto! PageManager 9.37  (HKLM-x32\...\{7EAA0477-3379-4222-8656-9D11F1A3C6EC}) (Version: 9.37.00 - Newsoft Technology Corporation)
Realtek Ethernet Controller Driver (HKLM-x32\...\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}) (Version: 7.68.201.2013 - Realtek)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6873 - Realtek Semiconductor Corp.)
Scanner Search Tool (HKLM-x32\...\{B1C5B144-7F59-4E94-9C94-EF43456D00B6}) (Version: 5.0.0.03 - Plustek Inc.)
SmartTools Publishing • Word Classic Menu (HKLM-x32\...\SmartToolsClassic Menuv2.00) (Version: v2.00 - SmartTools Publishing)
SyncBackFree (HKLM-x32\...\SyncBackFree_is1) (Version: 7.6.8.0 - 2BrightSparks)
TextPad 5 (HKLM-x32\...\{B6EC7388-E277-4A5B-8C8F-71067A41BA64}) (Version: 5.2.0 - Helios)
Tool zum Entfernen verborgener Daten (HKLM-x32\...\{90F80407-6000-11D3-8CFE-0150048383C9}) (Version: 11.0.6361.0 - Microsoft Corporation)
Update for 2007 Microsoft Office System (KB967642) (HKLM-x32\...\{91120000-00CA-0000-0000-0000000FF1CE}_SMALLBUSINESSR_{C444285D-5E4F-48A4-91DD-47AAAA68E92D}) (Version:  - Microsoft)
XFast LAN v9.05 (HKLM\...\XFast LAN) (Version: 9.05 - cFos Software GmbH, Bonn)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\DIDBW.job =>
Task: C:\Windows\Tasks\FCG.job =>

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

Shortcut: C:\Users\inel-eins\Desktop\wenn Alfred nicht auf die Freigaben zugreifen kann.lnk -> C:\_00 (Inel-eins)\ServerNeuTask.bat ()

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2014-12-19 11:36 - 2013-07-29 17:55 - 00211456 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\DocuAction.exe

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2009-06-10 23:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-3418458991-977026470-3051313295-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\inel-eins\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 0) (EnableLUA: 0)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [TCP Query User{A9DFA763-3E37-4F35-B2BC-744D6A1674FB}C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe] => (Allow) C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe
FirewallRules: [UDP Query User{168F2B38-CF31-4588-BA7E-A07EFE302400}C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe] => (Allow) C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe
FirewallRules: [TCP Query User{CAAA873F-961C-44E8-8FB0-65BF3FBD8F9D}C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe] => (Block) C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe
FirewallRules: [UDP Query User{62CB16BB-E8FF-4061-AFCF-B6DF107DBBC6}C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe] => (Block) C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe
FirewallRules: [{DD084738-92C0-4BED-B83A-370A087C1737}] => (Allow) C:\Program Files (x86)\Firefox\firefox.exe
FirewallRules: [{CC231FF6-E12B-4B77-9F08-3F02F2CA7412}] => (Allow) C:\Program Files (x86)\Firefox\firefox.exe
FirewallRules: [{58256D99-B131-4DC4-AE18-47518F62F0DD}] => (Allow) C:\Program Files (x86)\Warenwirtschaft\Microtech\Buero Plus NexT\BpNexT.exe
FirewallRules: [{8808AB3D-3AAB-4097-8EB0-7F01A58DE734}] => (Allow) C:\Program Files (x86)\Warenwirtschaft\Microtech\Buero Plus NexT\BpNexT.exe
FirewallRules: [{130D0290-EB5E-4ED9-B81C-20134ACD44D0}] => (Allow) C:\Program Files (x86)\Firefox\firefox.exe
FirewallRules: [{E1B7CAD6-68CA-45A3-8DCF-84485BBAD8FB}] => (Allow) C:\Program Files (x86)\Firefox\firefox.exe

==================== Wiederherstellungspunkte =========================

ACHTUNG: Systemwiederherstellung ist deaktiviert
Überprüfen Sie den "winmgmt" Dienst oder reparieren Sie den WMI.


==================== Fehlerhafte Geräte im Gerätemanager =============

Name:
Description:
Class Guid:
Manufacturer:
Service:
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: USB Server
Description: USB Server
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (10/28/2016 04:17:28 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.

Error: (10/28/2016 08:00:32 AM) (Source: Outlook) (EventID: 34) (User: )
Description: Fehler beim Abrufen des Crawlbereichs-Managers. Fehler=0x8001010d.

Error: (10/28/2016 07:59:47 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (10/27/2016 07:25:56 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (10/27/2016 05:53:01 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (10/27/2016 05:37:36 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (10/27/2016 11:45:27 AM) (Source: Outlook) (EventID: 34) (User: )
Description: Fehler beim Abrufen des Crawlbereichs-Managers. Fehler=0x8001010d.

Error: (10/27/2016 11:45:12 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (10/26/2016 12:30:06 AM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.

Error: (10/23/2016 12:30:06 AM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.


Systemfehler:
=============
Error: (10/27/2016 08:05:48 PM) (Source: NetBT) (EventID: 4321) (User: )
Description: Der Name "INEL          :1d" konnte nicht auf der Schnittstelle mit IP-Adresse 192.168.178.33
registriert werden. Der Computer mit IP-Adresse 192.168.178.21 hat nicht
zugelassen, dass dieser Computer diesen Namen verwendet.

Error: (10/27/2016 08:00:38 PM) (Source: NetBT) (EventID: 4321) (User: )
Description: Der Name "INEL          :1d" konnte nicht auf der Schnittstelle mit IP-Adresse 192.168.178.33
registriert werden. Der Computer mit IP-Adresse 192.168.178.21 hat nicht
zugelassen, dass dieser Computer diesen Namen verwendet.

Error: (10/27/2016 05:55:39 PM) (Source: NetBT) (EventID: 4321) (User: )
Description: Der Name "INEL          :1d" konnte nicht auf der Schnittstelle mit IP-Adresse 192.168.178.33
registriert werden. Der Computer mit IP-Adresse 192.168.178.21 hat nicht
zugelassen, dass dieser Computer diesen Namen verwendet.

Error: (10/27/2016 05:49:19 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Error: (10/27/2016 05:49:19 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Error: (10/27/2016 05:49:19 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Error: (10/27/2016 05:47:15 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Error: (10/27/2016 05:47:15 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Error: (10/27/2016 05:47:15 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Error: (10/27/2016 05:47:13 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.


==================== Speicherinformationen ===========================

Prozessor: Intel(R) Core(TM) i5-4570T CPU @ 2.90GHz
Prozentuale Nutzung des RAM: 64%
Installierter physikalischer RAM: 3769.34 MB
Verfügbarer physikalischer RAM: 1327.45 MB
Summe virtueller Speicher: 7536.86 MB
Verfügbarer virtueller Speicher: 5104.12 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:119.14 GB) (Free:17.48 GB) NTFS

==================== MBR & Partitionstabelle ==================

==================== Ende von Addition.txt ============================
...wo ich gerade in der addition.txt sehe, dass die Benutzer so lange Nummern haben: Beim (definitiv nicht befallenen) Zweitrechner war bei beiden freigegebenen Ordnern der Besitzer verstellt auf "S-1-5-21-2415661222-2962035093-2335954648-1000". Habe das wieder bereinigt.

cosinus 28.10.2016 20:40
Ohne Adminrechte wird das nix.
Falls der betroffene User keine Adminrechte hast, gib dem Adminrechte zumindest solange wir hier beschäftigt sind.

wechselbalg 30.10.2016 22:13
Ei - verbibbschd. Zweiter Anlauf:

Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 29-10-2016
durchgeführt von Admin auf eins (Administrator) auf PC-6 (30-10-2016 21:56:30)
Gestartet von C:\Users\eins\Desktop
Geladene Profile: eins & Admin auf eins (Verfügbare Profile: eins & Admin auf eins)
Platform: Windows 7 Professional Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: "C:\Program Files (x86)\Firefox\firefox.exe" -osint -url "%1")
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(ABBYY Production LLC) C:\Program Files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe
(cFos Software GmbH) C:\Program Files\ASRock\XFast LAN\spd.exe
(Foxit Software Inc.) C:\Program Files\pdf\Foxit\Reader\Foxit Cloud\FCUpdateService.exe
(Foxit Software Inc.) C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\FoxitConnectedPDFService.exe
(Intel(R) Corporation) C:\Program Files\Intel\iCLS Client\HeciServer.exe
(Malwarebytes) C:\Program Files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbamscheduler.exe
(Malwarebytes) C:\Program Files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbamservice.exe
(Malwarebytes) C:\Program Files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbam.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
(NewSoft Technology Corporation) C:\Program Files (x86)\Plustek\Software\PageManager 9\PMSpeed.exe
() C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\DocuAction.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\Jhi_service.exe
(Oracle Corporation) C:\Config.Msi\67b889a.rbf
(Scanner Search Tool) C:\Program Files (x86)\Plustek\Scanner Search Tool\Scanner Search Tool.exe
(cFos Software GmbH) C:\Program Files\ASRock\XFast LAN\cfosspeed.exe
(Malwarebytes) C:\Program Files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbam.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe
(cFos Software GmbH) C:\Program Files\ASRock\XFast LAN\cfosspeed.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
(NewSoft Technology Corporation) C:\Program Files (x86)\Plustek\Software\PageManager 9\PMSpeed.exe
() C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\DocuAction.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe


==================== Registry (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13513288 2013-03-29] (Realtek Semiconductor)
HKLM\...\Run: [IAStorIcon] => C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [286704 2013-04-30] (Intel Corporation)
HKLM\...\Run: [XFast LAN] => C:\Program Files\ASRock\XFast LAN\cFosSpeed.exe [2009952 2013-05-31] (cFos Software GmbH)
HKLM-x32\...\Run: [USB3MON] => C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe [292848 2013-04-11] (Intel Corporation)
HKLM-x32\...\Run: [PMSpeed9.37.00] => C:\Program Files (x86)\Plustek\Software\PageManager 9\PMSpeed.EXE [125248 2013-05-13] (NewSoft Technology Corporation)
HKLM-x32\...\Run: [Plustek_ScannerSearchTool] => C:\Program Files (x86)\Plustek\Scanner Search Tool\Scanner Search Tool.exe [1662976 2013-09-14] (Scanner Search Tool)
HKLM-x32\...\Run: [DocAction_678U] => C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\DocuAction.exe [211456 2013-07-29] ()
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2016-09-22] (Oracle Corporation)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <===== ACHTUNG
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\...\Run: [] => [X]
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\...\Run: [Sync2] => C:\Program Files (x86)\Tools\Outlook synchronisieren\Sync2.exe [2807304 2008-12-08] (4Team Corporation)
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\...\Policies\system: [DisableTaskMgr] 2
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\...\Policies\Explorer: [NoCDBurning] 1
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\...\MountPoints2: {2778c6c7-819e-11e4-a6b9-806e6f6e6963} - D:\ASRSetup.exe
HKU\S-1-5-21-3418458991-977026470-3051313295-1005\...\Policies\Explorer: [NoCDBurning] 1
IFEO\AdAwareDesktop.exe: [Debugger] svchost.exe
IFEO\AdAwareService.exe: [Debugger] svchost.exe
IFEO\AdAwareTray.exe: [Debugger] svchost.exe
IFEO\AgentSvc.exe: [Debugger] svchost.exe
IFEO\AVKWCtlx64.exe: [Debugger] svchost.exe
IFEO\avpmapp.exe: [Debugger] svchost.exe
IFEO\Bav.exe: [Debugger] svchost.exe
IFEO\bavhm.exe: [Debugger] svchost.exe
IFEO\BavSvc.exe: [Debugger] svchost.exe
IFEO\BavTray.exe: [Debugger] svchost.exe
IFEO\BavUpdater.exe: [Debugger] svchost.exe
IFEO\BavWebClient.exe: [Debugger] svchost.exe
IFEO\BDSSVC.EXE: [Debugger] svchost.exe
IFEO\BgScan.exe: [Debugger] svchost.exe
IFEO\BullGuardBhvScanner.exe: [Debugger] svchost.exe
IFEO\BullGuardUpdate.exe: [Debugger] svchost.exe
IFEO\BullGuarScanner.exe: [Debugger] svchost.exe
IFEO\capinfos.exe: [Debugger] svchost.exe
IFEO\CONSCTLX.EXE: [Debugger] svchost.exe
IFEO\coreFrameworkHost.exe: [Debugger] svchost.exe
IFEO\coreServiceShell.exe: [Debugger] svchost.exe
IFEO\dragon_updater.exe: [Debugger] svchost.exe
IFEO\dumpcap.exe: [Debugger] svchost.exe
IFEO\econceal.exe: [Debugger] svchost.exe
IFEO\econser.exe: [Debugger] svchost.exe
IFEO\editcap.exe: [Debugger] svchost.exe
IFEO\escanmon.exe: [Debugger] svchost.exe
IFEO\escanpro.exe: [Debugger] svchost.exe
IFEO\freshclamwrap.exe: [Debugger] svchost.exe
IFEO\FSHDLL64.exe: [Debugger] svchost.exe
IFEO\fshoster32.exe: [Debugger] svchost.exe
IFEO\fsorsp.exe: [Debugger] svchost.exe
IFEO\GdBgInx64.exe: [Debugger] svchost.exe
IFEO\GDKBFltExe32.exe: [Debugger] svchost.exe
IFEO\GDSC.exe: [Debugger] svchost.exe
IFEO\GDScan.exe: [Debugger] svchost.exe
IFEO\guardxkickoff_x64.exe: [Debugger] svchost.exe
IFEO\iptray.exe: [Debugger] svchost.exe
IFEO\K7AVScan.exe: [Debugger] svchost.exe
IFEO\K7CrvSvc.exe: [Debugger] svchost.exe
IFEO\K7EmlPxy.EXE: [Debugger] svchost.exe
IFEO\K7FWSrvc.exe: [Debugger] svchost.exe
IFEO\K7PSSrvc.exe: [Debugger] svchost.exe
IFEO\K7RTScan.exe: [Debugger] svchost.exe
IFEO\K7SysMon.Exe: [Debugger] svchost.exe
IFEO\K7TSecurity.exe: [Debugger] svchost.exe
IFEO\K7TSMain.exe: [Debugger] svchost.exe
IFEO\K7TSMngr.exe: [Debugger] svchost.exe
IFEO\LittleHook.exe: [Debugger] svchost.exe
IFEO\MCS-Uninstall.exe: [Debugger] svchost.exe
IFEO\MCShieldCCC.exe: [Debugger] svchost.exe
IFEO\MCShieldDS.exe: [Debugger] svchost.exe
IFEO\MCShieldRTM.exe: [Debugger] svchost.exe
IFEO\mergecap.exe: [Debugger] svchost.exe
IFEO\MWAGENT.EXE: [Debugger] svchost.exe
IFEO\MWASER.EXE: [Debugger] svchost.exe
IFEO\nanoav.exe: [Debugger] svchost.exe
IFEO\nanosvc.exe: [Debugger] svchost.exe
IFEO\nfservice.exe: [Debugger] svchost.exe
IFEO\njeeves2.exe: [Debugger] svchost.exe
IFEO\nnf.exe: [Debugger] svchost.exe
IFEO\NS.exe: [Debugger] svchost.exe
IFEO\nseupdatesvc.exe: [Debugger] svchost.exe
IFEO\nvcsvc.exe: [Debugger] svchost.exe
IFEO\nvoy.exe: [Debugger] svchost.exe
IFEO\nwscmon.exe: [Debugger] svchost.exe
IFEO\OPSSVC.EXE: [Debugger] svchost.exe
IFEO\op_mon.exe: [Debugger] svchost.exe
IFEO\ProcessHacker.exe: [Debugger] svchost.exe
IFEO\PSUAMain.exe: [Debugger] svchost.exe
IFEO\PSUAService.exe: [Debugger] svchost.exe
IFEO\PtSessionAgent.exe: [Debugger] svchost.exe
IFEO\PtSvcHost.exe: [Debugger] svchost.exe
IFEO\PtWatchDog.exe: [Debugger] svchost.exe
IFEO\rawshark.exe: [Debugger] svchost.exe
IFEO\SAPISSVC.EXE: [Debugger] svchost.exe
IFEO\SASCore64.exe: [Debugger] svchost.exe
IFEO\SASTask.exe: [Debugger] svchost.exe
IFEO\SBAMSvc.exe: [Debugger] svchost.exe
IFEO\SBAMTray.exe: [Debugger] svchost.exe
IFEO\SBPIMSvc.exe: [Debugger] svchost.exe
IFEO\scproxysrv.exe: [Debugger] svchost.exe
IFEO\ScSecSvc.exe: [Debugger] svchost.exe
IFEO\SDFSSvc.exe: [Debugger] svchost.exe
IFEO\SDScan.exe: [Debugger] svchost.exe
IFEO\SDTray.exe: [Debugger] svchost.exe
IFEO\SDWelcome.exe: [Debugger] svchost.exe
IFEO\SSUpdate64.exe: [Debugger] svchost.exe
IFEO\SUPERDelete.exe: [Debugger] svchost.exe
IFEO\text2pcap.exe: [Debugger] svchost.exe
IFEO\TRAYICOS.EXE: [Debugger] svchost.exe
IFEO\TRAYSSER.EXE: [Debugger] svchost.exe
IFEO\trigger.exe: [Debugger] svchost.exe
IFEO\tshark.exe: [Debugger] svchost.exe
IFEO\uiSeAgnt.exe: [Debugger] svchost.exe
IFEO\uiUpdateTray.exe: [Debugger] svchost.exe
IFEO\uiWatchDog.exe: [Debugger] svchost.exe
IFEO\uiWinMgr.exe: [Debugger] svchost.exe
IFEO\UnThreat.exe: [Debugger] svchost.exe
IFEO\utsvc.exe: [Debugger] svchost.exe
IFEO\V3Main.exe: [Debugger] svchost.exe
IFEO\V3Medic.exe: [Debugger] svchost.exe
IFEO\V3Proxy.exe: [Debugger] svchost.exe
IFEO\V3SP.exe: [Debugger] svchost.exe
IFEO\V3Svc.exe: [Debugger] svchost.exe
IFEO\V3Up.exe: [Debugger] svchost.exe
IFEO\VIEWTCP.EXE: [Debugger] svchost.exe
IFEO\VIPREUI.exe: [Debugger] svchost.exe
IFEO\WebCompanion.exe: [Debugger] svchost.exe
IFEO\zlhh.exe: [Debugger] svchost.exe
GroupPolicy\User: Beschränkung <======= ACHTUNG
GroupPolicyScripts: Beschränkung <======= ACHTUNG

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{5C4C30FB-BC82-4490-B66D-3828A8ECDCDC}: [DhcpNameServer] 192.168.178.1

Internet Explorer:
==================
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <======= ACHTUNG
HKU\S-1-5-21-3418458991-977026470-3051313295-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.dell.com
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\ssv.dll [2016-10-29] (Oracle Corporation)
BHO-x32: Foxit Phantom Create PDF ToolBar Helper -> {A5DD10F7-5ABB-4EEF-B4C8-6748D44DAF2A} -> C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\Creator\IEAddin\IEAddin.dll [2016-06-21] ()
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\jp2ssv.dll [2016-10-29] (Oracle Corporation)
Toolbar: HKLM-x32 - Foxit Phantom Create PDF ToolBar - {BFD9D8A8-57FF-488A-B919-065EC77CF82F} - C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\Creator\IEAddin\IEAddin.dll [2016-06-21] ()

FireFox:
========
FF DefaultProfile: 0eovk06f.default
FF ProfilePath: C:\Users\Admin auf eins\AppData\Roaming\Mozilla\Firefox\Profiles\0eovk06f.default [2016-10-29]
FF Plugin: @microsoft.com/GENUINE -> C:\Windows\system32\Wat\npWatWeb.dll [2015-01-12] (Microsoft Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/pdf -> C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2016-05-30] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2016-05-30] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2016-05-30] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2016-05-30] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files\pdf\Foxit\Reader\plugins\npFoxitReaderPlugin.dll [2013-07-03] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files\pdf\Foxit\Reader\plugins\npFoxitReaderPlugin.dll [2013-07-03] (Foxit Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=3.0.72 -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll [2013-03-12] (Intel Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll [2013-03-12] (Intel Corporation)
FF Plugin-x32: @java.com/DTPlugin,version=11.111.2 -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\dtplugin\npDeployJava1.dll [2016-10-29] (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=11.111.2 -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\plugin2\npjp2.dll [2016-10-29] (Oracle Corporation)
FF Plugin-x32: @microsoft.com/GENUINE -> C:\Windows\system32\Wat\npWatWeb.dll [2015-01-12] (Microsoft Corporation)
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Firefox\firefox.exe

Chrome:
=======
CHR HKLM\...\Chrome\Extension: [cifnddnffldieaamihfkhkdgnbhfmaci] - C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\\plugins\Creator\ChromeAddin\ChromeAddin.crx [2016-06-23]
CHR HKLM-x32\...\Chrome\Extension: [cifnddnffldieaamihfkhkdgnbhfmaci] - C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\\plugins\Creator\ChromeAddin\ChromeAddin.crx [2016-06-23]

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 ABBYY.Licensing.FineReader.Sprint.9.0; C:\Program Files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [764216 2013-08-15] (ABBYY Production LLC)
R2 cFosSpeedS; C:\Program Files\ASRock\XFast LAN\spd.exe [652640 2013-05-31] (cFos Software GmbH)
R2 FoxitCloudUpdateService; C:\Program Files\pdf\Foxit\Reader\Foxit Cloud\FCUpdateService.exe [243880 2015-01-16] (Foxit Software Inc.)
R2 FoxitPhantomService; C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\FoxitConnectedPDFService.exe [1647808 2016-06-21] (Foxit Software Inc.)
R2 IAStorDataMgrSvc; C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [15344 2013-04-30] (Intel Corporation)
R2 Intel(R) Capability Licensing Service Interface; C:\Program Files\Intel\iCLS Client\HeciServer.exe [731648 2013-02-13] (Intel(R) Corporation) [Datei ist nicht signiert]
S3 Intel(R) Capability Licensing Service TCP IP Interface; C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [820184 2013-02-13] (Intel(R) Corporation)
R2 Intel(R) ME Service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe [131544 2013-03-12] (Intel Corporation)
S3 iumsvc; C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe [177376 2016-08-12] (Intel Corporation)
R2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [169432 2013-03-12] (Intel Corporation)
R2 MBAMScheduler; C:\Program Files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbamscheduler.exe [1514464 2016-03-10] (Malwarebytes)
R2 MBAMService; C:\Program Files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbamservice.exe [1136608 2016-03-10] (Malwarebytes)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
R0 iaStorF; C:\Windows\System32\DRIVERS\iaStorF.sys [28656 2013-04-30] (Intel Corporation)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [27008 2016-03-10] (Malwarebytes)
R3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [192216 2016-10-30] (Malwarebytes)
R3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [64896 2016-03-10] (Malwarebytes Corporation)
R3 NUServer64; C:\Windows\System32\DRIVERS\NUServer64.sys [254464 2011-10-27] (Elite Silicon Technology Inc.)
R3 NUServer64; C:\Windows\SysWOW64\DRIVERS\NUServer64.sys [254464 2011-10-27] (Elite Silicon Technology Inc.)
R3 NUS_Bus64; C:\Windows\System32\DRIVERS\NUS_Bus64.sys [34816 2011-10-14] (Elite Silicon Technology Inc.)
R3 NUS_Bus64; C:\Windows\SysWOW64\DRIVERS\NUS_Bus64.sys [34816 2011-10-14] (Elite Silicon Technology Inc.)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-10-30 21:56 - 2016-10-30 21:56 - 00000000 ____D C:\Users\eins\Desktop\FRST-OlderVersion
2016-10-28 17:09 - 2016-10-30 21:56 - 00019275 _____ C:\Users\eins\Desktop\FRST.txt
2016-10-28 17:09 - 2016-10-28 17:12 - 00020617 _____ C:\Users\eins\Desktop\Addition.txt
2016-10-28 17:08 - 2016-10-30 21:56 - 02408448 _____ (Farbar) C:\Users\eins\Desktop\FRST64.exe
2016-10-28 17:08 - 2016-10-30 21:56 - 00000000 ____D C:\FRST
2016-10-27 18:51 - 2016-10-27 19:02 - 00000000 ____D C:\_Unsere Daten
2016-10-27 18:49 - 2016-10-28 14:15 - 00000000 ___RD C:\Datenblätter
2016-10-27 18:27 - 2016-10-28 17:42 - 00000000 ____D C:\vom Cerber am 27.10.16 verschlüsselt
2016-10-27 16:35 - 2016-10-27 16:50 - 00064568 _____ C:\Windows\ntbtlog.txt
2016-10-27 01:00 - 2016-10-27 01:00 - 00115662 _____ C:\Users\eins\Documents\GZj-WmAfHB.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00063083 _____ C:\Users\eins\Downloads\README.hta
2016-10-27 01:00 - 2016-10-27 01:00 - 00063083 _____ C:\Users\eins\Documents\README.hta
2016-10-27 01:00 - 2016-10-27 01:00 - 00053682 _____ C:\Users\eins\Documents\xfThCb6f40.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00051122 _____ C:\Users\eins\Documents\vr8SoRasjx.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00046552 _____ C:\Users\eins\Downloads\s0ysMdmekF.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00015686 _____ C:\Users\eins\Documents\vUTIbCSTzP.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00015253 _____ C:\Users\eins\Documents\MRj79iKyO6.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00015038 _____ C:\Users\eins\Documents\HjvgJiGC7K.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00014652 _____ C:\Users\eins\Documents\VEZrVVo91I.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00014371 _____ C:\Users\eins\Documents\OTdgfeewjH.bf61
2016-10-24 07:53 - 2016-10-24 15:31 - 00014167 _____ C:\Users\eins\Desktop\wisemail_23909-rnowak (2).xlsx
2016-10-21 07:17 - 2016-10-27 10:43 - 00000000 ____D C:\Program Files (x86)\Firefox
2016-10-17 09:47 - 2016-10-18 15:58 - 00014944 _____ C:\Users\eins\Desktop\wisemail_3876-rnowak (2).xlsx
2016-10-13 14:00 - 2016-10-18 17:48 - 00090112 _____ C:\Users\eins\Desktop\bl 13.10.2016.xls
2016-10-12 15:34 - 2016-09-30 21:13 - 00394448 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2016-10-12 15:34 - 2016-09-30 20:28 - 00346312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iedkcs32.dll
2016-10-12 15:34 - 2016-09-30 16:37 - 05548264 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2016-10-12 15:34 - 2016-09-30 16:20 - 04000488 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2016-10-12 15:34 - 2016-09-30 16:20 - 03944680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2016-10-12 15:34 - 2016-09-30 08:55 - 25765376 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2016-10-12 15:34 - 2016-09-30 07:41 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2016-10-12 15:34 - 2016-09-30 07:40 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2016-10-12 15:34 - 2016-09-30 07:26 - 00066560 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2016-10-12 15:34 - 2016-09-30 07:25 - 02895360 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2016-10-12 15:34 - 2016-09-30 07:25 - 00576000 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2016-10-12 15:34 - 2016-09-30 07:25 - 00417792 _____ (Microsoft Corporation) C:\Windows\system32\html.iec
2016-10-12 15:34 - 2016-09-30 07:25 - 00088064 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2016-10-12 15:34 - 2016-09-30 07:25 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2016-10-12 15:34 - 2016-09-30 07:18 - 00054784 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2016-10-12 15:34 - 2016-09-30 07:17 - 00034304 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2016-10-12 15:34 - 2016-09-30 07:14 - 00615936 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2016-10-12 15:34 - 2016-09-30 07:13 - 00144384 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2016-10-12 15:34 - 2016-09-30 07:13 - 00114688 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2016-10-12 15:34 - 2016-09-30 07:12 - 00817664 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2016-10-12 15:34 - 2016-09-30 07:12 - 00814080 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2016-10-12 15:34 - 2016-09-30 07:09 - 06048256 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2016-10-12 15:34 - 2016-09-30 07:05 - 00968704 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2016-10-12 15:34 - 2016-09-30 07:02 - 00489984 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2016-10-12 15:34 - 2016-09-30 06:55 - 00077824 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2016-10-12 15:34 - 2016-09-30 06:54 - 02724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2016-10-12 15:34 - 2016-09-30 06:54 - 00107520 _____ (Microsoft Corporation) C:\Windows\system32\inseng.dll
2016-10-12 15:34 - 2016-09-30 06:51 - 00199680 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2016-10-12 15:34 - 2016-09-30 06:50 - 00092160 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2016-10-12 15:34 - 2016-09-30 06:47 - 20306944 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2016-10-12 15:34 - 2016-09-30 06:47 - 00315392 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2016-10-12 15:34 - 2016-09-30 06:46 - 00152064 _____ (Microsoft Corporation) C:\Windows\system32\occache.dll
2016-10-12 15:34 - 2016-09-30 06:42 - 00498688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2016-10-12 15:34 - 2016-09-30 06:42 - 00341504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\html.iec
2016-10-12 15:34 - 2016-09-30 06:42 - 00062464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2016-10-12 15:34 - 2016-09-30 06:42 - 00047616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieetwproxystub.dll
2016-10-12 15:34 - 2016-09-30 06:41 - 00064000 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MshtmlDac.dll
2016-10-12 15:34 - 2016-09-30 06:38 - 02286592 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2016-10-12 15:34 - 2016-09-30 06:36 - 00047104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2016-10-12 15:34 - 2016-09-30 06:35 - 00262144 _____ (Microsoft Corporation) C:\Windows\system32\webcheck.dll
2016-10-12 15:34 - 2016-09-30 06:35 - 00030720 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2016-10-12 15:34 - 2016-09-30 06:33 - 00724992 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2016-10-12 15:34 - 2016-09-30 06:33 - 00476160 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2016-10-12 15:34 - 2016-09-30 06:32 - 00806912 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2016-10-12 15:34 - 2016-09-30 06:32 - 00663552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2016-10-12 15:34 - 2016-09-30 06:32 - 00620032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2016-10-12 15:34 - 2016-09-30 06:32 - 00115712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2016-10-12 15:34 - 2016-09-30 06:31 - 02131456 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2016-10-12 15:34 - 2016-09-30 06:31 - 01359360 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2016-10-12 15:34 - 2016-09-30 06:24 - 00416256 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtmsft.dll
2016-10-12 15:34 - 2016-09-30 06:21 - 15257088 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2016-10-12 15:34 - 2016-09-30 06:19 - 00091136 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inseng.dll
2016-10-12 15:34 - 2016-09-30 06:19 - 00060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\JavaScriptCollectionAgent.dll
2016-10-12 15:34 - 2016-09-30 06:17 - 02920960 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2016-10-12 15:34 - 2016-09-30 06:17 - 00168960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrating.dll
2016-10-12 15:34 - 2016-09-30 06:15 - 00076288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2016-10-12 15:34 - 2016-09-30 06:14 - 00279040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtrans.dll
2016-10-12 15:34 - 2016-09-30 06:13 - 00130048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\occache.dll
2016-10-12 15:34 - 2016-09-30 06:12 - 04608512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2016-10-12 15:34 - 2016-09-30 06:07 - 00230400 _____ (Microsoft Corporation) C:\Windows\SysWOW64\webcheck.dll
2016-10-12 15:34 - 2016-09-30 06:05 - 02055680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2016-10-12 15:34 - 2016-09-30 06:05 - 01544192 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2016-10-12 15:34 - 2016-09-30 06:05 - 01155072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmlmedia.dll
2016-10-12 15:34 - 2016-09-30 06:05 - 00693248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2016-10-12 15:34 - 2016-09-30 06:03 - 13653504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2016-10-12 15:34 - 2016-09-30 05:54 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2016-10-12 15:34 - 2016-09-30 05:46 - 02444288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2016-10-12 15:34 - 2016-09-30 05:43 - 01312768 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2016-10-12 15:34 - 2016-09-30 05:42 - 00710144 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2016-10-12 15:34 - 2016-09-15 16:30 - 00976896 _____ (Microsoft Corporation) C:\Windows\system32\inetcomm.dll
2016-10-12 15:34 - 2016-09-15 16:30 - 00084480 _____ (Microsoft Corporation) C:\Windows\system32\INETRES.dll
2016-10-12 15:34 - 2016-09-15 16:15 - 00741888 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcomm.dll
2016-10-12 15:34 - 2016-09-15 16:15 - 00084480 _____ (Microsoft Corporation) C:\Windows\SysWOW64\INETRES.dll
2016-10-12 15:34 - 2016-09-12 22:13 - 00154856 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ksecpkg.sys
2016-10-12 15:34 - 2016-09-12 22:13 - 00095464 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ksecdd.sys
2016-10-12 15:34 - 2016-09-12 22:08 - 01465344 _____ (Microsoft Corporation) C:\Windows\system32\lsasrv.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 01212928 _____ (Microsoft Corporation) C:\Windows\system32\rpcrt4.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00730624 _____ (Microsoft Corporation) C:\Windows\system32\kerberos.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00690688 _____ (Microsoft Corporation) C:\Windows\system32\adtschema.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00463872 _____ (Microsoft Corporation) C:\Windows\system32\certcli.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00345600 _____ (Microsoft Corporation) C:\Windows\system32\schannel.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00316416 _____ (Microsoft Corporation) C:\Windows\system32\msv1_0.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00312320 _____ (Microsoft Corporation) C:\Windows\system32\ncrypt.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00210432 _____ (Microsoft Corporation) C:\Windows\system32\wdigest.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00190464 _____ (Microsoft Corporation) C:\Windows\system32\rpchttp.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00146432 _____ (Microsoft Corporation) C:\Windows\system32\msaudite.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00135680 _____ (Microsoft Corporation) C:\Windows\system32\sspicli.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00107520 _____ (Microsoft Corporation) C:\Windows\system32\adsmsext.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00086528 _____ (Microsoft Corporation) C:\Windows\system32\TSpkg.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00060416 _____ (Microsoft Corporation) C:\Windows\system32\msobjs.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00043520 _____ (Microsoft Corporation) C:\Windows\system32\cryptbase.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00028672 _____ (Microsoft Corporation) C:\Windows\system32\sspisrv.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00028160 _____ (Microsoft Corporation) C:\Windows\system32\secur32.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00022016 _____ (Microsoft Corporation) C:\Windows\system32\credssp.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00690688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\adtschema.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00666112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rpcrt4.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00553472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\kerberos.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00342528 _____ (Microsoft Corporation) C:\Windows\SysWOW64\certcli.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00260608 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msv1_0.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00254464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\schannel.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00223232 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ncrypt.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00172032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wdigest.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00146432 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msaudite.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00141312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rpchttp.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00096768 _____ (Microsoft Corporation) C:\Windows\SysWOW64\sspicli.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00076800 _____ (Microsoft Corporation) C:\Windows\SysWOW64\adsmsext.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00065536 _____ (Microsoft Corporation) C:\Windows\SysWOW64\TSpkg.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msobjs.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00022016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\secur32.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00017408 _____ (Microsoft Corporation) C:\Windows\SysWOW64\credssp.dll
2016-10-12 15:34 - 2016-09-12 21:39 - 00064000 _____ (Microsoft Corporation) C:\Windows\system32\auditpol.exe
2016-10-12 15:34 - 2016-09-12 21:37 - 03218944 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2016-10-12 15:34 - 2016-09-12 21:32 - 00291328 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb10.sys
2016-10-12 15:34 - 2016-09-12 21:32 - 00159744 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb.sys
2016-10-12 15:34 - 2016-09-12 21:32 - 00129536 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb20.sys
2016-10-12 15:34 - 2016-09-12 21:31 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\lsass.exe
2016-10-12 15:34 - 2016-09-12 21:29 - 00050176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\auditpol.exe
2016-10-12 15:34 - 2016-09-12 21:25 - 00036352 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptbase.dll
2016-10-12 15:34 - 2016-09-12 20:08 - 01251328 _____ (Microsoft Corporation) C:\Windows\SysWOW64\DWrite.dll
2016-10-12 15:34 - 2016-09-12 19:43 - 01648128 _____ (Microsoft Corporation) C:\Windows\system32\DWrite.dll
2016-10-12 15:34 - 2016-09-12 19:43 - 01180160 _____ (Microsoft Corporation) C:\Windows\system32\FntCache.dll
2016-10-12 15:34 - 2016-09-10 17:19 - 03649536 _____ (Microsoft Corporation) C:\Windows\system32\MSVidCtl.dll
2016-10-12 15:34 - 2016-09-10 16:53 - 02291712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MSVidCtl.dll
2016-10-12 15:34 - 2016-09-09 19:29 - 00631176 _____ (Microsoft Corporation) C:\Windows\system32\winresume.efi
2016-10-12 15:34 - 2016-09-09 19:26 - 00706280 _____ (Microsoft Corporation) C:\Windows\system32\winload.efi
2016-10-12 15:34 - 2016-09-09 19:23 - 01732864 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 01163264 _____ (Microsoft Corporation) C:\Windows\system32\kernel32.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00880640 _____ (Microsoft Corporation) C:\Windows\system32\advapi32.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00503808 _____ (Microsoft Corporation) C:\Windows\system32\srcore.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00419840 _____ (Microsoft Corporation) C:\Windows\system32\KernelBase.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00362496 _____ (Microsoft Corporation) C:\Windows\system32\wow64win.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00243712 _____ (Microsoft Corporation) C:\Windows\system32\wow64.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00215552 _____ (Microsoft Corporation) C:\Windows\system32\winsrv.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00063488 _____ (Microsoft Corporation) C:\Windows\system32\setbcdlocale.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00059904 _____ (Microsoft Corporation) C:\Windows\system32\appidapi.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00050176 _____ (Microsoft Corporation) C:\Windows\system32\srclient.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00044032 _____ (Microsoft Corporation) C:\Windows\system32\csrsrv.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00034816 _____ (Microsoft Corporation) C:\Windows\system32\appidsvc.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00016384 _____ (Microsoft Corporation) C:\Windows\system32\ntvdm64.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00013312 _____ (Microsoft Corporation) C:\Windows\system32\wow64cpu.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00006656 _____ (Microsoft Corporation) C:\Windows\system32\apisetschema.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00006144 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-security-base-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00005120 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-file-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00004608 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00004608 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-processthreads-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-synch-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-localregistry-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-localization-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-misc-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-memory-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-heap-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-util-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-string-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-profile-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-io-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-interlocked-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-handle-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-fibers-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-delayload-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-debug-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-datetime-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-console-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:01 - 01314112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntdll.dll
2016-10-12 15:34 - 2016-09-09 19:00 - 01114112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\kernel32.dll
2016-10-12 15:34 - 2016-09-09 19:00 - 00275456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\KernelBase.dll
2016-10-12 15:34 - 2016-09-09 19:00 - 00043008 _____ (Microsoft Corporation) C:\Windows\SysWOW64\srclient.dll
2016-10-12 15:34 - 2016-09-09 19:00 - 00005120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wow32.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00644096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\advapi32.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00050688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\appidapi.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00006656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\apisetschema.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00005120 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-file-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00004608 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processthreads-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-sysinfo-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-synch-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-misc-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localregistry-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localization-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processenvironment-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-namedpipe-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-memory-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-libraryloader-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-interlocked-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-heap-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-string-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-rtlsupport-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-profile-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-io-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-handle-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-fibers-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-errorhandling-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-delayload-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-debug-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-datetime-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-console-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:51 - 00148480 _____ (Microsoft Corporation) C:\Windows\system32\appidpolicyconverter.exe
2016-10-12 15:34 - 2016-09-09 18:51 - 00062464 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\appid.sys
2016-10-12 15:34 - 2016-09-09 18:51 - 00017920 _____ (Microsoft Corporation) C:\Windows\system32\appidcertstorecheck.exe
2016-10-12 15:34 - 2016-09-09 18:48 - 00338432 _____ (Microsoft Corporation) C:\Windows\system32\conhost.exe
2016-10-12 15:34 - 2016-09-09 18:47 - 00296960 _____ (Microsoft Corporation) C:\Windows\system32\rstrui.exe
2016-10-12 15:34 - 2016-09-09 18:43 - 00112640 _____ (Microsoft Corporation) C:\Windows\system32\smss.exe
2016-10-12 15:34 - 2016-09-09 18:38 - 00025600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\setup16.exe
2016-10-12 15:34 - 2016-09-09 18:38 - 00014336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntvdm64.dll
2016-10-12 15:34 - 2016-09-09 18:38 - 00007680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\instnm.exe
2016-10-12 15:34 - 2016-09-09 18:38 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\user.exe
2016-10-12 15:34 - 2016-09-09 18:37 - 00006144 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-security-base-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:37 - 00004608 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-threadpool-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:37 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-xstate-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:37 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-util-l1-1-0.dll
2016-10-12 15:34 - 2016-09-08 21:34 - 00263680 _____ (Microsoft Corporation) C:\Windows\system32\WebClnt.dll
2016-10-12 15:34 - 2016-09-08 21:34 - 00208896 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WebClnt.dll
2016-10-12 15:34 - 2016-09-08 21:34 - 00108544 _____ (Microsoft Corporation) C:\Windows\system32\davclnt.dll
2016-10-12 15:34 - 2016-09-08 21:34 - 00087040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\davclnt.dll
2016-10-12 15:34 - 2016-09-08 15:55 - 00142336 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxdav.sys
2016-10-12 15:34 - 2016-09-08 15:55 - 00106496 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\dfsc.sys
2016-10-12 15:34 - 2016-08-16 19:47 - 00419640 _____ C:\Windows\SysWOW64\locale.nls
2016-10-12 15:34 - 2016-08-16 19:47 - 00419640 _____ C:\Windows\system32\locale.nls
2016-10-12 15:34 - 2016-08-12 18:02 - 14632960 _____ (Microsoft Corporation) C:\Windows\system32\wmp.dll
2016-10-12 15:34 - 2016-08-12 18:02 - 12574720 _____ (Microsoft Corporation) C:\Windows\system32\wmploc.DLL
2016-10-12 15:34 - 2016-08-12 18:02 - 00009728 _____ (Microsoft Corporation) C:\Windows\system32\spwmp.dll
2016-10-12 15:34 - 2016-08-12 18:02 - 00005120 _____ (Microsoft Corporation) C:\Windows\system32\msdxm.ocx
2016-10-12 15:34 - 2016-08-12 18:02 - 00005120 _____ (Microsoft Corporation) C:\Windows\system32\dxmasf.dll
2016-10-12 15:34 - 2016-08-12 17:47 - 12574208 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wmploc.DLL
2016-10-12 15:34 - 2016-08-12 17:47 - 11410432 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wmp.dll
2016-10-12 15:34 - 2016-08-12 17:31 - 00008192 _____ (Microsoft Corporation) C:\Windows\SysWOW64\spwmp.dll
2016-10-12 15:34 - 2016-08-12 17:31 - 00004096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msdxm.ocx
2016-10-12 15:34 - 2016-08-12 17:31 - 00004096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxmasf.dll
2016-10-12 15:34 - 2016-08-12 17:26 - 00461312 _____ (Microsoft Corporation) C:\Windows\system32\scavengeui.dll
2016-10-12 15:34 - 2016-08-06 16:31 - 02023424 _____ (Microsoft Corporation) C:\Windows\system32\WsmSvc.dll
2016-10-12 15:34 - 2016-08-06 16:31 - 00347136 _____ (Microsoft Corporation) C:\Windows\system32\WSManMigrationPlugin.dll
2016-10-12 15:34 - 2016-08-06 16:31 - 00310784 _____ (Microsoft Corporation) C:\Windows\system32\WsmWmiPl.dll
2016-10-12 15:34 - 2016-08-06 16:31 - 00182272 _____ (Microsoft Corporation) C:\Windows\system32\WsmAuto.dll
2016-10-12 15:34 - 2016-08-06 16:31 - 00054272 _____ (Microsoft Corporation) C:\Windows\system32\WsmRes.dll
2016-10-12 15:34 - 2016-08-06 16:31 - 00012800 _____ (Microsoft Corporation) C:\Windows\system32\wsmplpxy.dll
2016-10-12 15:34 - 2016-08-06 16:15 - 01178112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmSvc.dll
2016-10-12 15:34 - 2016-08-06 16:15 - 00249344 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WSManMigrationPlugin.dll
2016-10-12 15:34 - 2016-08-06 16:15 - 00214016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmWmiPl.dll
2016-10-12 15:34 - 2016-08-06 16:15 - 00146944 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmAuto.dll
2016-10-12 15:34 - 2016-08-06 16:15 - 00054272 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmRes.dll
2016-10-12 15:34 - 2016-08-06 16:01 - 00266752 _____ (Microsoft Corporation) C:\Windows\system32\WSManHTTPConfig.exe
2016-10-12 15:34 - 2016-08-06 16:01 - 00013824 _____ (Microsoft Corporation) C:\Windows\system32\wsmprovhost.exe
2016-10-12 15:34 - 2016-08-06 15:53 - 00199168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WSManHTTPConfig.exe
2016-10-12 15:34 - 2016-08-06 15:53 - 00012288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wsmprovhost.exe
2016-10-12 15:34 - 2016-08-06 15:53 - 00010240 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wsmplpxy.dll
2016-10-12 15:34 - 2016-06-14 18:21 - 00094440 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mountmgr.sys
2016-10-12 15:34 - 2016-06-14 18:16 - 04121600 _____ (Microsoft Corporation) C:\Windows\system32\mf.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 01573888 _____ (Microsoft Corporation) C:\Windows\system32\quartz.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 01483264 _____ (Microsoft Corporation) C:\Windows\system32\crypt32.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 01202176 _____ (Microsoft Corporation) C:\Windows\system32\drmv2clt.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 01068544 _____ (Microsoft Corporation) C:\Windows\system32\cryptui.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00842240 _____ (Microsoft Corporation) C:\Windows\system32\blackbox.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00782848 _____ (Microsoft Corporation) C:\Windows\system32\wmdrmsdk.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00680448 _____ (Microsoft Corporation) C:\Windows\system32\audiosrv.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00641024 _____ (Microsoft Corporation) C:\Windows\system32\msscp.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00632320 _____ (Microsoft Corporation) C:\Windows\system32\evr.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00499712 _____ (Microsoft Corporation) C:\Windows\system32\AUDIOKSE.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00497664 _____ (Microsoft Corporation) C:\Windows\system32\drmmgrtn.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00440320 _____ (Microsoft Corporation) C:\Windows\system32\AudioEng.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00433152 _____ (Microsoft Corporation) C:\Windows\system32\mfplat.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00371712 _____ (Microsoft Corporation) C:\Windows\system32\qdvd.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00325632 _____ (Microsoft Corporation) C:\Windows\system32\msnetobj.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00295936 _____ (Microsoft Corporation) C:\Windows\system32\AudioSes.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00284672 _____ (Microsoft Corporation) C:\Windows\system32\EncDump.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00228864 _____ (Microsoft Corporation) C:\Windows\system32\wintrust.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00206848 _____ (Microsoft Corporation) C:\Windows\system32\mfps.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00190976 _____ (Microsoft Corporation) C:\Windows\system32\cryptsvc.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00187904 _____ (Microsoft Corporation) C:\Windows\system32\pcasvc.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00141824 _____ (Microsoft Corporation) C:\Windows\system32\cryptnet.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00081920 _____ (Microsoft Corporation) C:\Windows\system32\cryptsp.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00037376 _____ (Microsoft Corporation) C:\Windows\system32\pcadm.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00011264 _____ (Microsoft Corporation) C:\Windows\system32\msmmsp.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00008704 _____ (Microsoft Corporation) C:\Windows\system32\pcaevts.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\mferror.dll
2016-10-12 15:34 - 2016-06-14 18:11 - 00663552 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\PEAuth.sys
2016-10-12 15:34 - 2016-06-14 16:21 - 03209216 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mf.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 01329664 _____ (Microsoft Corporation) C:\Windows\SysWOW64\quartz.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 01176064 _____ (Microsoft Corporation) C:\Windows\SysWOW64\crypt32.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 01005056 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptui.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00988160 _____ (Microsoft Corporation) C:\Windows\SysWOW64\drmv2clt.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00744960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\blackbox.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00617984 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wmdrmsdk.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00519680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\qdvd.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00504320 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msscp.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00489984 _____ (Microsoft Corporation) C:\Windows\SysWOW64\evr.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00442368 _____ (Microsoft Corporation) C:\Windows\SysWOW64\AUDIOKSE.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00406016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\drmmgrtn.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00374784 _____ (Microsoft Corporation) C:\Windows\SysWOW64\AudioEng.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00354816 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfplat.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00265216 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msnetobj.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00195072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\AudioSes.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00179200 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wintrust.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00145920 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptsvc.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00106496 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptnet.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00103424 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfps.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00080896 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptsp.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mferror.dll
2016-10-12 15:34 - 2016-06-14 16:15 - 00125952 _____ (Microsoft Corporation) C:\Windows\system32\audiodg.exe
2016-10-12 15:34 - 2016-06-14 16:15 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\rrinstaller.exe
2016-10-12 15:34 - 2016-06-14 16:15 - 00024576 _____ (Microsoft Corporation) C:\Windows\system32\mfpmp.exe
2016-10-12 15:34 - 2016-06-14 16:05 - 00050176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rrinstaller.exe
2016-10-12 15:34 - 2016-06-14 16:05 - 00023040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfpmp.exe
2016-10-12 15:34 - 2016-06-14 16:00 - 00011264 _____ (Microsoft Corporation) C:\Windows\system32\pcawrk.exe
2016-10-12 15:34 - 2016-06-14 16:00 - 00009728 _____ (Microsoft Corporation) C:\Windows\system32\pcalua.exe
2016-10-12 15:33 - 2016-07-22 15:58 - 00142336 _____ (Microsoft Corporation) C:\Windows\system32\poqexec.exe
2016-10-12 15:33 - 2016-07-22 15:51 - 00123904 _____ (Microsoft Corporation) C:\Windows\SysWOW64\poqexec.exe
2016-10-10 10:09 - 2016-10-28 09:19 - 00015627 _____ C:\Users\eins\Desktop\wisemail_30515-rnowak.xlsx
2016-10-04 13:16 - 2016-10-13 17:47 - 00016042 _____ C:\Users\eins\Desktop\wisemail_17780-rnowak.xlsx

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-10-30 21:56 - 2014-12-19 20:39 - 00001352 _____ C:\Windows\Tasks\DIDBW.job
2016-10-30 21:56 - 2014-12-19 20:39 - 00001348 _____ C:\Windows\Tasks\FCG.job
2016-10-30 21:55 - 2015-10-14 08:48 - 00000000 ____D C:\Users\Admin auf eins\AppData\Roaming\.oit
2016-10-30 21:55 - 2014-12-23 13:47 - 00192216 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2016-10-29 13:11 - 2014-12-27 18:09 - 00000000 ____D C:\ProgramData\Oracle
2016-10-29 13:11 - 2014-12-27 18:09 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2016-10-29 13:11 - 2014-12-27 18:09 - 00000000 ____D C:\Program Files (x86)\Java
2016-10-29 13:10 - 2014-12-27 18:09 - 00097856 _____ (Oracle Corporation) C:\Windows\SysWOW64\WindowsAccessBridge-32.dll
2016-10-28 17:43 - 2014-12-17 20:08 - 00000000 ___RD C:\_00 (eins)
2016-10-28 08:56 - 2014-12-12 11:26 - 00701206 _____ C:\Windows\system32\perfh007.dat
2016-10-28 08:56 - 2014-12-12 11:26 - 00149500 _____ C:\Windows\system32\perfc007.dat
2016-10-28 08:56 - 2009-07-14 06:13 - 01624730 _____ C:\Windows\system32\PerfStringBackup.INI
2016-10-28 08:56 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\inf
2016-10-28 07:05 - 2009-07-14 05:45 - 00026080 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-10-28 07:05 - 2009-07-14 05:45 - 00026080 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-10-28 06:58 - 2014-12-18 20:42 - 00000000 ____D C:\Users\eins\AppData\Roaming\.oit
2016-10-28 06:57 - 2016-06-27 16:49 - 00000000 ____D C:\ProgramData\Foxit Software
2016-10-28 06:57 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-10-27 18:23 - 2009-07-14 06:37 - 00000000 ____D C:\Windows\DigitalLocker
2016-10-27 16:23 - 2009-07-14 05:57 - 00001547 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk
2016-10-27 10:48 - 2015-02-02 11:24 - 00003850 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1422872646
2016-10-27 10:48 - 2015-02-02 11:22 - 00000000 ____D C:\Program Files (x86)\Opera
2016-10-27 10:43 - 2014-12-12 12:29 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2016-10-27 10:42 - 2014-12-18 20:42 - 00000000 ____D C:\Users\eins\Documents\My PageManager
2016-10-27 10:39 - 2014-12-19 10:45 - 00000000 ____D C:\Users\Public\Documents\ScanDoc
2016-10-26 16:29 - 2010-11-21 04:27 - 00485032 ____N (Microsoft Corporation) C:\Windows\system32\MpSigStub.exe
2016-10-18 13:44 - 2014-12-12 13:42 - 00003718 _____ C:\Windows\System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473
2016-10-17 17:59 - 2014-12-12 13:42 - 00003476 _____ C:\Windows\System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473-Logon
2016-10-12 20:54 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\rescache
2016-10-12 20:17 - 2009-07-14 05:45 - 00473360 _____ C:\Windows\system32\FNTCACHE.DAT
2016-10-12 20:17 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\SysWOW64\Dism
2016-10-12 20:17 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\Dism
2016-10-12 20:02 - 2014-12-11 21:42 - 00000000 ____D C:\Windows\system32\MRT
2016-10-12 20:00 - 2014-12-11 21:42 - 143495576 ____C (Microsoft Corporation) C:\Windows\system32\MRT.exe
2016-10-05 16:20 - 2016-01-15 18:26 - 00000000 ____D C:\Users\eins\AppData\Local\microtech

Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\Admin auf eins\license.dat
C:\Users\eins\license.dat


Einige Dateien in TEMP:
====================
C:\Users\Admin auf eins\AppData\Local\Temp\jre-8u111-windows-au.exe
C:\Users\eins\AppData\Local\Temp\Foxit Reader Updater.exe
C:\Users\eins\AppData\Local\Temp\jre-8u101-windows-au.exe
C:\Users\eins\AppData\Local\Temp\jre-8u111-windows-au.exe
C:\Users\eins\AppData\Local\Temp\jre-8u31-windows-au.exe
C:\Users\eins\AppData\Local\Temp\jre-8u65-windows-au.exe
C:\Users\eins\AppData\Local\Temp\jre-8u66-windows-au.exe
C:\Users\eins\AppData\Local\Temp\jre-8u71-windows-au.exe
C:\Users\eins\AppData\Local\Temp\jre-8u77-windows-au.exe
C:\Users\eins\AppData\Local\Temp\jre-8u91-windows-au.exe
C:\Users\eins\AppData\Local\Temp\ose00000.exe
C:\Users\eins\AppData\Local\Temp\Quarantine.exe
C:\Users\eins\AppData\Local\Temp\sqlite3.dll
C:\Users\eins\AppData\Local\Temp\System.Data.SQLite.dll
C:\Users\eins\AppData\Local\Temp\System.Data.SQLite1571153e-4103-4412-af89-bf50b758fb6f.dll
C:\Users\eins\AppData\Local\Temp\tu17p84.exe
C:\Users\eins\AppData\Local\Temp\_is1726.exe
C:\Users\eins\AppData\Local\Temp\_isA2E1.exe


==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2016-10-24 23:55

==================== Ende von FRST.txt ============================

Addition:
Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 29-10-2016
durchgeführt von Admin auf eins (30-10-2016 21:56:42)
Gestartet von C:\Users\eins\Desktop
Windows 7 Professional Service Pack 1 (X64) (2014-12-11 19:44:52)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Admin auf eins (S-1-5-21-3418458991-977026470-3051313295-1005 - Administrator - Enabled) => C:\Users\Admin auf eins
Administrator (S-1-5-21-3418458991-977026470-3051313295-500 - Administrator - Disabled)
Alfred (S-1-5-21-3418458991-977026470-3051313295-1004 - Limited - Enabled)
Gast (S-1-5-21-3418458991-977026470-3051313295-501 - Limited - Enabled)
inel (S-1-5-21-3418458991-977026470-3051313295-1003 - Limited - Enabled)
eins (S-1-5-21-3418458991-977026470-3051313295-1000 - Limited - Enabled) => C:\Users\eins

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

4Team Sync2 (HKLM-x32\...\{405A02AA-8AE7-4BEF-A7A6-E03EFB6E1431}) (Version: 1.70.0833 - 4Team Corporation)
ABBYY FineReader 9.0 Sprint (HKLM-x32\...\ABBYY FineReader 9.0 Sprint) (Version: 9.00.90.58241 - ABBYY)
ABBYY FineReader 9.0 Sprint (x32 Version: 9.00.90.58241 - ABBYY) Hidden
BeCyPDFMetaEdit (HKLM-x32\...\BeCyPDFMetaEdit) (Version: 2.37.0 - Benjamin Bentmann)
büro+ (HKLM-x32\...\{4514B037-355D-4B8E-B9B4-8E71C94D2206}) (Version: 17.0.5600.0 - microtech GmbH)
Corel Graphics Suite 11 (x32 Version: 11 - Corel Corporation) Hidden
CorelDRAW Graphics Suite 11 (HKLM-x32\...\InstallShield_{1C63DD23-6554-4A1F-8D0D-B5A6B49D8015}) (Version: 11 - Corel Corporation)
Foxit Cloud (HKLM-x32\...\{41914D8B-9D6E-4764-A1F9-BC43FB6782C1}_is1) (Version: 2.6.36.116 - Foxit Software Inc.)
Foxit PhantomPDF Standard (HKLM-x32\...\{8576A8CC-3A24-11E6-A6C0-000C29FC3B44}) (Version: 8.0.0.624 - Foxit Software Inc.)
Foxit Reader (HKLM-x32\...\Foxit Reader_is1) (Version: 6.1.5.624 - Foxit Corporation)
FTPRush 2.1.8 (HKLM-x32\...\FTP Rush_is1) (Version: 2.1.8 - wftpserver.com)
Intel(R) Management Engine Components (HKLM-x32\...\{65153EA5-8B6E-43B6-857B-C6E4FC25798A}) (Version: 9.0.0.1323 - Intel Corporation)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.18.10.3186 - Intel Corporation)
Intel(R) Rapid Storage Technology (HKLM\...\{409CB30E-E457-4008-9B1A-ED1B9EA21140}) (Version: 12.6.0.1033 - Intel Corporation)
Intel(R) SDK for OpenCL - CPU Only Runtime Package (HKLM-x32\...\{FCB3772C-B7D0-4933-B1A9-3707EBACC573}) (Version: 3.0.0.66956 - Intel Corporation)
Intel(R) Update Manager (HKLM-x32\...\{7224B7CE-196C-4E2A-A1AE-1D7BF259FD36}) (Version: 3.4.1942 - Intel Corporation)
Intel(R) USB 3.0 eXtensible Host Controller Driver (HKLM-x32\...\{240C3DDD-C5E9-4029-9DF7-95650D040CF2}) (Version: 2.0.0.102 - Intel Corporation)
Java 8 Update 111 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180111F0}) (Version: 8.0.1110.14 - Oracle Corporation)
Macromedia Dreamweaver 8 (HKLM-x32\...\{44025BD7-AD10-4769-99AE-6378FD0303D6}) (Version: 8.0.0.2751 - Macromedia)
Macromedia Extension Manager (HKLM-x32\...\{0F022A2E-7022-497D-90A5-0F46746D8275}) (Version: 1.7.270 - Ihr Firmenname)
Malwarebytes Anti-Malware Version 2.0.4.1028 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.4.1028 - Malwarebytes Corporation)
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Extended (HKLM\...\Microsoft .NET Framework 4 Extended) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Office 2007 Service Pack 3 (SP3) (HKLM-x32\...\{91120000-00CA-0000-0000-0000000FF1CE}_SMALLBUSINESSR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}) (Version:  - Microsoft)
Microsoft Office Small Business 2007 (HKLM-x32\...\SMALLBUSINESSR) (Version: 12.0.6612.1000 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}) (Version: 8.0.61000 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 (HKLM-x32\...\{CA8A885F-E95B-3FC6-BB91-F4D9377C7686}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Mozilla Firefox 49.0.2 (x86 de) (HKLM-x32\...\Mozilla Firefox 49.0.2 (x86 de)) (Version: 49.0.2 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 49.0.2.6136 - Mozilla)
Opera Stable 41.0.2353.46 (HKLM-x32\...\Opera 41.0.2353.46) (Version: 41.0.2353.46 - Opera Software)
PDF Password Remover v3.0 (HKLM-x32\...\PDF Password Remover v3.0_is1) (Version:  - VeryPDF.com Inc)
PDF Password Remover v5.0 (HKLM-x32\...\PDF Password Remover v5.0_is1) (Version:  - VeryPDF.com Inc.)
Plustek SmartOffice PN2040 (HKLM-x32\...\{7143F039-D27E-470D-90AD-AE363C4B539E}) (Version: 5.1.0 - Plustek Inc.)
Presto! PageManager 9.37  (HKLM-x32\...\{7EAA0477-3379-4222-8656-9D11F1A3C6EC}) (Version: 9.37.00 - Newsoft Technology Corporation)
Realtek Ethernet Controller Driver (HKLM-x32\...\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}) (Version: 7.68.201.2013 - Realtek)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6873 - Realtek Semiconductor Corp.)
Scanner Search Tool (HKLM-x32\...\{B1C5B144-7F59-4E94-9C94-EF43456D00B6}) (Version: 5.0.0.03 - Plustek Inc.)
SmartTools Publishing • Word Classic Menu (HKLM-x32\...\SmartToolsClassic Menuv2.00) (Version: v2.00 - SmartTools Publishing)
SyncBackFree (HKLM-x32\...\SyncBackFree_is1) (Version: 7.6.8.0 - 2BrightSparks)
TextPad 5 (HKLM-x32\...\{B6EC7388-E277-4A5B-8C8F-71067A41BA64}) (Version: 5.2.0 - Helios)
Tool zum Entfernen verborgener Daten (HKLM-x32\...\{90F80407-6000-11D3-8CFE-0150048383C9}) (Version: 11.0.6361.0 - Microsoft Corporation)
Update for 2007 Microsoft Office System (KB967642) (HKLM-x32\...\{91120000-00CA-0000-0000-0000000FF1CE}_SMALLBUSINESSR_{C444285D-5E4F-48A4-91DD-47AAAA68E92D}) (Version:  - Microsoft)
XFast LAN v9.05 (HKLM\...\XFast LAN) (Version: 9.05 - cFos Software GmbH, Bonn)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

CustomCLSID: HKU\S-1-5-21-3418458991-977026470-3051313295-1000_Classes\CLSID\{ABECE8A0-FF84-4efb-82AE-9B3181CE097D}\InprocServer32 -> C:\Program Files (x86)\Tools\TextPad\System\shellext64.dll (Helios Software Solutions)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {26526046-6AF2-42C5-A553-EFB484DCCE13} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473-Logon => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe [2016-08-12] (Intel Corporation)
Task: {5F09D371-B06A-4A81-897D-E1DD903C1E5E} - System32\Tasks\ServerNeustart => C:\_00 (eins)\ServerNeustart.bat [2016-02-29] () <==== ACHTUNG
Task: {AC36059B-679F-4A62-A524-F24065618AC7} - System32\Tasks\FCG => C:\Users\eins\AppData\Roaming\FCG.exe <==== ACHTUNG
Task: {BA0004A2-7B31-4B89-A953-E8D0123405E8} - System32\Tasks\DIDBW => C:\Users\eins\AppData\Roaming\DIDBW.exe <==== ACHTUNG
Task: {BFA8CD11-D68D-4260-AC17-DBD7F07A6140} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe [2016-08-12] (Intel Corporation)
Task: {F0016A59-C196-4C83-8704-B80694B3098B} - System32\Tasks\Opera scheduled Autoupdate 1422872646 => C:\Program Files (x86)\Opera\launcher.exe [2016-10-24] (Opera Software)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\DIDBW.job => C:\Users\eins\AppData\Roaming\DIDBW.exe <==== ACHTUNG
Task: C:\Windows\Tasks\FCG.job => C:\Users\eins\AppData\Roaming\FCG.exe <==== ACHTUNG

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2014-12-19 10:36 - 2013-07-29 16:55 - 00211456 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\DocuAction.exe
2014-12-18 20:40 - 2008-11-17 14:56 - 00102400 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\nsSign.dll
2014-12-18 20:40 - 2013-07-31 09:34 - 00061440 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PerformOcr.dll
2014-12-18 20:40 - 2013-07-22 11:09 - 00061440 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMISM.dll
2014-12-18 20:40 - 2011-12-22 13:36 - 00098304 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\Qem.dll
2014-12-18 20:40 - 2013-07-31 09:17 - 00167936 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMCommon.dll
2014-12-18 20:40 - 2013-07-22 11:08 - 00069632 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PHooKDlg.dll
2014-12-18 20:40 - 2012-03-28 09:55 - 01182444 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\libcairo-2.dll
2014-12-18 20:40 - 2012-08-02 15:33 - 00211616 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\libfontconfig-1.dll
2014-12-18 20:40 - 2012-08-02 15:33 - 00125496 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\libexpat-1.dll
2014-12-18 20:40 - 2012-08-02 15:33 - 00457888 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\freetype6.dll
2014-12-18 20:40 - 2012-08-02 15:33 - 00235304 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\libpng14-14.dll
2014-12-18 20:40 - 2012-08-02 15:34 - 00105120 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\zlib1.dll
2014-12-18 20:40 - 2009-08-06 10:22 - 00421888 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\FT.dll
2014-12-18 20:40 - 2013-07-22 11:10 - 00139264 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMSet.dll
2014-12-18 20:40 - 2013-07-22 11:06 - 00135168 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\ComClass.dll
2014-12-18 20:40 - 2013-07-22 11:06 - 00344064 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\CloudManager.dll
2014-12-18 20:40 - 2013-07-31 14:38 - 00118784 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMSave.dll
2014-12-18 20:40 - 2013-08-19 10:48 - 00663552 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMDB_N.dll
2014-12-18 20:40 - 2007-03-30 11:08 - 00034896 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\NSWinZip.dll
2014-12-18 20:40 - 2013-07-10 10:20 - 00049152 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMINSO.dll
2014-12-18 20:40 - 2013-07-22 11:08 - 00151552 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMANO.dll
2014-12-18 20:40 - 2013-04-26 14:06 - 00053248 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMOffice.dll
2014-12-18 20:40 - 2013-08-19 15:46 - 00176640 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\ScanModule.dll
2014-12-18 20:40 - 2013-08-19 10:51 - 00331776 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMTree.dll
2014-12-18 20:40 - 2013-07-22 11:13 - 00110592 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMProp.dll
2014-12-18 20:40 - 2013-07-22 11:12 - 00040960 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMVoice.dll
2014-12-18 20:40 - 2013-06-22 11:10 - 00077824 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\OutlookVBA.dll
2014-12-18 20:40 - 2013-07-31 09:20 - 00344064 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMAppBar.dll
2014-12-18 20:40 - 2013-08-19 10:49 - 04657152 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMView.dll
2014-12-18 20:40 - 2007-03-30 10:01 - 00038992 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\NsOEMKey.dll
2014-12-18 20:40 - 2013-07-31 09:35 - 00442368 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMPageVW.dll
2014-12-18 20:40 - 2013-07-22 11:13 - 00106496 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMDocVW.dll
2014-12-18 20:40 - 2013-07-22 11:11 - 01036288 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\SlideBarDLL.dll
2014-12-18 20:40 - 2013-07-22 11:08 - 00323584 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMAnoSet.dll
2014-12-18 20:40 - 2013-07-22 11:13 - 00184320 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMImgVW.dll
2014-12-18 20:40 - 2013-07-22 11:16 - 00040960 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMIEVW.dll
2014-12-18 20:40 - 2013-07-22 11:18 - 00049152 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMPDFView.dll
2014-12-18 20:40 - 2013-07-22 11:09 - 00098304 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMApSet.dll
2014-12-18 20:40 - 2013-06-22 11:12 - 00065536 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMStatus.dll
2014-12-18 20:40 - 2013-08-19 14:39 - 00319488 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMScnSet.dll
2014-12-18 20:40 - 2013-07-22 11:15 - 00028672 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\Import.dll
2014-12-18 20:40 - 2013-07-22 11:14 - 00098304 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMImageSplitter.dll
2014-12-18 20:40 - 2013-06-22 11:09 - 00081920 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\NetFun2K.dll
2014-12-19 10:36 - 2013-07-29 16:55 - 00027136 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\AmCommonLib.dll
2014-12-19 10:36 - 2013-08-23 09:42 - 00073728 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\DocuRes.dll
2014-12-19 10:36 - 2008-06-26 14:11 - 00045056 _____ () C:\Program Files (x86)\Common Files\iMpacct\EdgeFillRsc.dll
2014-12-19 10:36 - 2006-05-15 15:24 - 00122938 _____ () C:\Program Files (x86)\Common Files\iMpacct\CommonFunc.dll
2014-12-19 10:36 - 2013-07-29 16:55 - 00283136 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\Scan.dll
2014-12-19 10:36 - 2013-08-26 03:40 - 00163840 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\ScanRes.dll
2014-12-19 10:36 - 2009-06-25 10:00 - 00897024 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\EncryptPdf.dll
2014-12-19 10:36 - 2013-07-30 09:50 - 00059392 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\PlkMsg.dll
2014-12-19 10:36 - 2013-08-16 10:08 - 00073728 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\PlkMsgRes.dll
2014-12-19 10:36 - 2013-07-29 16:55 - 00101376 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\PDF.DLL
2014-12-19 10:36 - 2013-07-29 16:55 - 00092672 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\FormatManager.dll
2014-12-19 10:36 - 2013-08-16 09:40 - 00040960 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\FormatManagerRes.dll
2014-12-19 10:36 - 2013-08-16 09:16 - 00036864 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\FilingRes.dll
2014-12-19 10:36 - 2013-07-29 16:55 - 00101376 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\Filing.DLL
2014-12-19 10:36 - 2013-09-06 13:58 - 00065024 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\ScanAdvanced.dll
2014-12-19 10:36 - 2013-09-16 11:30 - 00958464 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\ScanApi.dll
2014-12-19 10:36 - 2013-01-24 16:09 - 00868352 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\PlkASize\timage.dll
2014-12-19 10:36 - 2013-01-24 16:09 - 00868352 _____ () C:\Program Files (x86)\Common Files\iMpacct\timage.dll
2014-12-19 10:36 - 2010-09-07 16:38 - 01093632 _____ () C:\Program Files (x86)\Common Files\iMpacct\plkacd.dll
2014-12-19 10:36 - 2012-04-17 13:30 - 00851968 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\timage.dll
2014-12-19 10:36 - 2007-06-26 17:08 - 00040960 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\DetectSession.dll
2014-12-19 10:36 - 2012-05-31 17:44 - 00249856 _____ () C:\Program Files (x86)\Plustek\Scanner Search Tool\DCPDLL.dll
2014-12-19 10:36 - 2012-05-31 17:44 - 00090112 _____ () C:\Program Files (x86)\Plustek\Scanner Search Tool\ESTLogDLL.dll
2014-12-19 10:36 - 2012-05-31 17:44 - 00487424 _____ () C:\Program Files (x86)\Plustek\Scanner Search Tool\PSMDLL.dll
2014-12-19 10:36 - 2012-05-31 17:44 - 00106496 _____ () C:\Program Files (x86)\Plustek\Scanner Search Tool\UNTPDLL.dll
2014-12-19 10:36 - 2013-09-16 11:30 - 00958464 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\ScanAPI.dll
2014-12-19 10:36 - 2013-07-29 16:55 - 00107520 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\Custom.DLL
2014-12-19 10:36 - 2013-08-16 09:27 - 00036864 _____ () C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\CustomRes.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-3418458991-977026470-3051313295-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\eins\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
HKU\S-1-5-21-3418458991-977026470-3051313295-1005\Control Panel\Desktop\\Wallpaper -> C:\Users\Admin auf eins\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 0) (EnableLUA: 0)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [TCP Query User{A9DFA763-3E37-4F35-B2BC-744D6A1674FB}C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe] => (Allow) C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe
FirewallRules: [UDP Query User{168F2B38-CF31-4588-BA7E-A07EFE302400}C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe] => (Allow) C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe
FirewallRules: [TCP Query User{CAAA873F-961C-44E8-8FB0-65BF3FBD8F9D}C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe] => (Block) C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe
FirewallRules: [UDP Query User{62CB16BB-E8FF-4061-AFCF-B6DF107DBBC6}C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe] => (Block) C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe
FirewallRules: [{DD084738-92C0-4BED-B83A-370A087C1737}] => (Allow) C:\Program Files (x86)\Firefox\firefox.exe
FirewallRules: [{CC231FF6-E12B-4B77-9F08-3F02F2CA7412}] => (Allow) C:\Program Files (x86)\Firefox\firefox.exe
FirewallRules: [{58256D99-B131-4DC4-AE18-47518F62F0DD}] => (Allow) C:\Program Files (x86)\Warenwirtschaft\Microtech\Buero Plus NexT\BpNexT.exe
FirewallRules: [{8808AB3D-3AAB-4097-8EB0-7F01A58DE734}] => (Allow) C:\Program Files (x86)\Warenwirtschaft\Microtech\Buero Plus NexT\BpNexT.exe
FirewallRules: [{130D0290-EB5E-4ED9-B81C-20134ACD44D0}] => (Allow) C:\Program Files (x86)\Firefox\firefox.exe
FirewallRules: [{E1B7CAD6-68CA-45A3-8DCF-84485BBAD8FB}] => (Allow) C:\Program Files (x86)\Firefox\firefox.exe

==================== Wiederherstellungspunkte =========================


==================== Fehlerhafte Geräte im Gerätemanager =============

Name:
Description:
Class Guid:
Manufacturer:
Service:
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (10/29/2016 11:30:50 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.

Error: (10/28/2016 11:30:50 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.

Error: (10/28/2016 03:17:28 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.

Error: (10/28/2016 07:00:32 AM) (Source: Outlook) (EventID: 34) (User: )
Description: Fehler beim Abrufen des Crawlbereichs-Managers. Fehler=0x8001010d.

Error: (10/28/2016 06:59:47 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (10/27/2016 06:25:56 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (10/27/2016 04:53:01 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (10/27/2016 04:37:36 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (10/27/2016 10:45:27 AM) (Source: Outlook) (EventID: 34) (User: )
Description: Fehler beim Abrufen des Crawlbereichs-Managers. Fehler=0x8001010d.

Error: (10/27/2016 10:45:12 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.


Systemfehler:
=============
Error: (10/27/2016 07:05:48 PM) (Source: NetBT) (EventID: 4321) (User: )
Description: Der Name "INEL          :1d" konnte nicht auf der Schnittstelle mit IP-Adresse 192.168.178.33
registriert werden. Der Computer mit IP-Adresse 192.168.178.21 hat nicht
zugelassen, dass dieser Computer diesen Namen verwendet.

Error: (10/27/2016 07:00:38 PM) (Source: NetBT) (EventID: 4321) (User: )
Description: Der Name "INEL          :1d" konnte nicht auf der Schnittstelle mit IP-Adresse 192.168.178.33
registriert werden. Der Computer mit IP-Adresse 192.168.178.21 hat nicht
zugelassen, dass dieser Computer diesen Namen verwendet.

Error: (10/27/2016 04:55:39 PM) (Source: NetBT) (EventID: 4321) (User: )
Description: Der Name "INEL          :1d" konnte nicht auf der Schnittstelle mit IP-Adresse 192.168.178.33
registriert werden. Der Computer mit IP-Adresse 192.168.178.21 hat nicht
zugelassen, dass dieser Computer diesen Namen verwendet.

Error: (10/27/2016 04:49:19 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Error: (10/27/2016 04:49:19 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Error: (10/27/2016 04:49:19 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Error: (10/27/2016 04:47:15 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Error: (10/27/2016 04:47:15 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Error: (10/27/2016 04:47:15 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Error: (10/27/2016 04:47:13 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.


==================== Speicherinformationen ===========================

Prozessor: Intel(R) Core(TM) i5-4570T CPU @ 2.90GHz
Prozentuale Nutzung des RAM: 55%
Installierter physikalischer RAM: 3769.34 MB
Verfügbarer physikalischer RAM: 1659.42 MB
Summe virtueller Speicher: 7536.86 MB
Verfügbarer virtueller Speicher: 4825.87 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:119.14 GB) (Free:17.23 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 119.2 GB) (Disk ID: 3AA0BECC)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=119.1 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================
Danke im voraus.

cosinus 31.10.2016 10:02
Zitat:
büro+
Corel Graphics Suite 11
CorelDRAW Graphics Suite 11
Microsoft Office Small Business 2007
Gewerblich genutztes System? Falls ja, habt ihr keine eigene IT?

wechselbalg 31.10.2016 12:11
Hi Cosinus,

nein - die Bürosoftware gabs als kostenlose Testversion, die hab ich mal für meinen Chef getestet. Und die alten Corel Versionen gibts für 30 Euro in der Bucht. Wenn man sich erstmal an Corel gewöhnt hat, kommt man mit anderen Fotobearbeitungsprogrammen nicht mehr so gut klar.

Wenn ich mich nicht um meine Rechner kümmere, dann tut es keiner.

Gruß
Wechselbalg

cosinus 31.10.2016 12:12
Dann bitte jetzt Combofix ausführen:

Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

wechselbalg 31.10.2016 15:41
...hier ist es schon, das Logfile:

Code:
ComboFix 16-10-23.01 - Admin auf eins 31.10.2016  15:18:06.1.4 - x64
Microsoft Windows 7 Professional  6.1.7601.1.1252.49.1031.18.3769.2389 [GMT 1:00]
ausgeführt von:: c:\users\eins\Desktop\ComboFix.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\FireFox\plugin-container.exe
c:\program files (x86)\FireFox\uninstall\helper.exe
c:\program files (x86)\FireFox\updater.exe
c:\users\eins\AppData\Local\assembly\tmp
.
.
(((((((((((((((((((((((  Dateien erstellt von 2016-09-28 bis 2016-10-31  ))))))))))))))))))))))))))))))
.
.
2016-10-31 14:20 . 2016-10-31 14:20        --------        d-----w-        c:\users\eins\AppData\Local\temp
2016-10-31 14:20 . 2016-10-31 14:20        --------        d-----w-        c:\users\Default\AppData\Local\temp
2016-10-29 12:10 . 2016-10-29 12:10        --------        d-----w-        c:\program files (x86)\Common Files\Java
2016-10-29 03:34 . 2016-10-29 03:34        75888        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{454FAE67-27EF-4B5B-8A62-0A02CD000E82}\offreg.2056.dll
2016-10-28 16:08 . 2016-10-30 20:56        --------        d-----w-        C:\FRST
2016-10-28 06:02 . 2016-10-06 21:42        12033040        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{454FAE67-27EF-4B5B-8A62-0A02CD000E82}\mpengine.dll
2016-10-27 17:51 . 2016-10-27 18:02        --------        d-----w-        C:\_Unsere Daten
2016-10-27 17:49 . 2016-10-28 13:15        --------        d-----r-        C:\Datenblätter
2016-10-27 17:27 . 2016-10-28 16:42        --------        d-----w-        C:\vom Cerber am 27.10.16 verschlüsselt
2016-10-21 06:17 . 2016-10-31 14:19        --------        d-----w-        c:\program files (x86)\Firefox
2016-10-12 14:33 . 2016-07-22 14:58        142336        ----a-w-        c:\windows\system32\poqexec.exe
2016-10-12 14:33 . 2016-07-22 14:51        123904        ----a-w-        c:\windows\SysWow64\poqexec.exe
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2016-10-31 14:16 . 2014-12-23 12:47        192216        ----a-w-        c:\windows\system32\drivers\MBAMSwissArmy.sys
2016-10-29 12:10 . 2014-12-27 17:09        97856        ----a-w-        c:\windows\SysWow64\WindowsAccessBridge-32.dll
2016-10-26 15:29 . 2010-11-21 03:27        485032        ------w-        c:\windows\system32\MpSigStub.exe
2016-10-12 19:00 . 2014-12-11 20:42        143495576        -c--a-w-        c:\windows\system32\MRT.exe
2016-09-09 17:59 . 2016-10-12 14:34        44032        ----a-w-        c:\windows\apppatch\acwow64.dll
2016-08-29 12:35 . 2015-09-08 19:19        2284128        ----a-w-        c:\windows\SysWow64\BpShellEx.dll
2016-08-16 17:36 . 2016-09-14 03:37        1009152        ----a-w-        c:\windows\system32\user32.dll
2016-08-16 02:48 . 2016-09-14 03:37        833024        ----a-w-        c:\windows\SysWow64\user32.dll
2016-08-12 16:46 . 2016-10-12 14:34        2560        ----a-w-        c:\windows\apppatch\AcRes.dll
2016-08-12 16:26 . 2016-09-14 03:38        464896        ----a-w-        c:\windows\system32\drivers\srv.sys
2016-08-12 16:26 . 2016-09-14 03:38        405504        ----a-w-        c:\windows\system32\drivers\srv2.sys
2016-08-12 16:26 . 2016-09-14 03:38        168960        ----a-w-        c:\windows\system32\drivers\srvnet.sys
2016-08-06 15:31 . 2016-09-14 03:37        877056        ----a-w-        c:\windows\system32\oleaut32.dll
2016-08-06 15:15 . 2016-09-14 03:37        581632        ----a-w-        c:\windows\SysWow64\oleaut32.dll
2016-08-05 15:30 . 2016-09-20 19:56        2048        ----a-w-        c:\windows\system32\tzres.dll
2016-08-05 15:13 . 2016-09-20 19:56        2048        ----a-w-        c:\windows\SysWow64\tzres.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\~\Browser Helper Objects\{A5DD10F7-5ABB-4EEF-B4C8-6748D44DAF2A}]
2016-06-21 12:42        3833536        ----a-w-        c:\program files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\Creator\IEAddin\IEAddin.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{BFD9D8A8-57FF-488A-B919-065EC77CF82F}"= "c:\program files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\Creator\IEAddin\IEAddin.dll" [2016-06-21 3833536]
.
[HKEY_CLASSES_ROOT\clsid\{bfd9d8a8-57ff-488a-b919-065ec77cf82f}]
[HKEY_CLASSES_ROOT\IEAddin.IEToolBar.1]
[HKEY_CLASSES_ROOT\TypeLib\{C48D6E9E-6B27-477F-A902-6788F2985A86}]
[HKEY_CLASSES_ROOT\IEAddin.IEToolBar]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"USB3MON"="c:\program files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [2013-04-11 292848]
"PMSpeed9.37.00"="c:\program files (x86)\Plustek\Software\PageManager 9\PMSpeed.EXE" [2013-05-13 125248]
"Plustek_ScannerSearchTool"="c:\program files (x86)\Plustek\Scanner Search Tool\Scanner Search Tool.exe" [2013-09-14 1662976]
"DocAction_678U"="c:\program files (x86)\Plustek\Plustek SmartOffice PN2040\DocuAction.exe" [2013-07-29 211456]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2016-09-22 587288]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbamscheduler.exe;c:\program files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbamscheduler.exe [x]
R2 MBAMService;MBAMService;c:\program files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbamservice.exe;c:\program files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbamservice.exe [x]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys;c:\windows\SYSNATIVE\drivers\dmvsc.sys [x]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe;c:\windows\SYSNATIVE\IEEtwCollector.exe [x]
R3 Intel(R) Capability Licensing Service TCP IP Interface;Intel(R) Capability Licensing Service TCP IP Interface;c:\program files\Intel\iCLS Client\SocketHeciServer.exe;c:\program files\Intel\iCLS Client\SocketHeciServer.exe [x]
R3 iumsvc;Intel(R) Update Manager;c:\program files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe;c:\program files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe [x]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys;c:\windows\SYSNATIVE\drivers\mbam.sys [x]
R3 MBAMWebAccessControl;MBAMWebAccessControl;c:\windows\system32\drivers\mwac.sys;c:\windows\SYSNATIVE\drivers\mwac.sys [x]
R3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys;c:\windows\SYSNATIVE\drivers\nusb3hub.sys [x]
R3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys;c:\windows\SYSNATIVE\drivers\nusb3xhc.sys [x]
R3 NUServer64;Network USB Server Device ;c:\windows\system32\DRIVERS\NUServer64.sys;c:\windows\SYSNATIVE\DRIVERS\NUServer64.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe;c:\windows\SYSNATIVE\Wat\WatAdminSvc.exe [x]
S0 iaStorA;iaStorA;c:\windows\system32\DRIVERS\iaStorA.sys;c:\windows\SYSNATIVE\DRIVERS\iaStorA.sys [x]
S0 iaStorF;iaStorF;c:\windows\system32\DRIVERS\iaStorF.sys;c:\windows\SYSNATIVE\DRIVERS\iaStorF.sys [x]
S0 iusb3hcs;Intel(R) USB 3.0 Hostcontroller-Switchtreiber;c:\windows\system32\DRIVERS\iusb3hcs.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hcs.sys [x]
S2 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\program files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe;c:\program files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [x]
S2 FoxitCloudUpdateService;Foxit Cloud Safe Update Service;c:\program files\pdf\Foxit\Reader\Foxit Cloud\FCUpdateService.exe;c:\program files\pdf\Foxit\Reader\Foxit Cloud\FCUpdateService.exe [x]
S2 FoxitPhantomService;FoxitPhantomService;c:\program files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\FoxitConnectedPDFService.exe;c:\program files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\FoxitConnectedPDFService.exe [x]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [x]
S2 Intel(R) Capability Licensing Service Interface;Intel(R) Capability Licensing Service Interface;c:\program files\Intel\iCLS Client\HeciServer.exe;c:\program files\Intel\iCLS Client\HeciServer.exe [x]
S2 Intel(R) ME Service;Intel(R) ME Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe;c:\program files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe [x]
S2 jhi_service;Intel(R) Dynamic Application Loader Host Interface Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe;c:\program files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [x]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys;c:\windows\SYSNATIVE\DRIVERS\IntcDAud.sys [x]
S3 iusb3hub;Intel(R) USB 3.0-Hubtreiber;c:\windows\system32\DRIVERS\iusb3hub.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hub.sys [x]
S3 iusb3xhc;Intel(R) USB 3.0 eXtensible-Hostcontrollertreiber;c:\windows\system32\DRIVERS\iusb3xhc.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3xhc.sys [x]
S3 MBfilt;MBfilt;c:\windows\system32\drivers\MBfilt64.sys;c:\windows\SYSNATIVE\drivers\MBfilt64.sys [x]
S3 NUS_Bus64;Network USB Server Bus ;c:\windows\system32\DRIVERS\NUS_Bus64.sys;c:\windows\SYSNATIVE\DRIVERS\NUS_Bus64.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2013-05-24 165872]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2013-05-24 407536]
"Persistence"="c:\windows\system32\igfxpers.exe" [2013-05-24 444400]
"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2013-03-29 13513288]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe" [2013-04-30 36352]
"XFast LAN"="c:\program files\ASRock\XFast LAN\cFosSpeed.exe" [2013-05-31 2009952]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Append Link Page to Another PDF - c:\program files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\Creator\IEAddin\IEAddin.dll/IEContextMenuLinkAppendPDF.html
IE: Append to Another PDF - c:\program files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\Creator\IEAddin\IEAddin.dll/IEContextMenuCurrentAppendPDF.html
IE: Convert Link Page to Foxit PDF - c:\program files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\Creator\IEAddin\IEAddin.dll/IEContextMenuLinkNewPDF.html
IE: Convert to Foxit PDF - c:\program files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\Creator\IEAddin\IEAddin.dll/IEContextMenuCurrentNewPDF.html
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Admin auf eins\AppData\Roaming\Mozilla\Firefox\Profiles\0eovk06f.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Mozilla Firefox 49.0.2 (x86 de) - c:\program files (x86)\Firefox\uninstall\helper.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2016-10-31  15:21:14
ComboFix-quarantined-files.txt  2016-10-31 14:21
.
Vor Suchlauf: 14 Verzeichnis(se), 18.440.445.952 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 20.180.082.688 Bytes frei
.
- - End Of File - - E250FD8536E0868ADE06FB690E5699DC
A36C5E4F47E84449FF07ED3517B43A31

cosinus 31.10.2016 15:42
Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

wechselbalg 31.10.2016 16:24
Erledigt - MBAR meldet keine Funde und wollte auch nicht neu starten.

Ich habe die von Combofix ins Quarantäneverzeichnis verschobenen Firefox-Files (helper.exe, updater.exe & plugin-container.exe) mal spaßeshalber bei virustotal.com online überprüfen lassen. Die finden in keinem der drei etwas anstößiges (jeweils 0 / 56 Treffer).

Hier noch das Logfile:

Code:
Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
  main:    v2016.10.31.07
  rootkit: v2016.09.26.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.18499
Admin auf eins :: PC-6 [administrator]

31.10.2016 16:09:26
mbar-log-2016-10-31 (16-09-26).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 353201
Time elapsed: 4 minute(s), 17 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

cosinus 31.10.2016 18:36
Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!

1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).




2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


wechselbalg 31.10.2016 19:56
Hallo Cosinus,

hier die Resultate:

Code:
# AdwCleaner v6.030 - Bericht erstellt am 31/10/2016 um 19:48:07
# Aktualisiert am 19/10/2016 von Malwarebytes
# Datenbank : 2016-10-31.1 [Server]
# Betriebssystem : Windows 7 Professional Service Pack 1 (X64)
# Benutzername : Admin auf eins - PC-6
# Gestartet von : C:\Users\eins\Desktop\AdwCleaner_6.030.exe
# Modus: Löschen
# Unterstützung : hxxps://www.malwarebytes.com/support



***** [ Dienste ] *****



***** [ Ordner ] *****

[-] Ordner gelöscht: C:\Program Files (x86)\Firefox


***** [ Dateien ] *****



***** [ DLL ] *****



***** [ WMI ] *****



***** [ Verknüpfungen ] *****



***** [ Aufgabenplanung ] *****



***** [ Registrierungsdatenbank ] *****

[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\AniGIFCtrl.AniGIF
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\AniGIFPpg.AniGIFPpg
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\AniGIFPpg.AniGIFPpg.1
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\AniGIFPpg2.AniGIFPpg2
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\AniGIFPpg2.AniGIFPpg2.1
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\AniGIFCtrl.AniGIF
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\AniGIFPpg.AniGIFPpg
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\AniGIFPpg.AniGIFPpg.1
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\AniGIFPpg2.AniGIFPpg2
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\AniGIFPpg2.AniGIFPpg2.1
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\CLSID\{61AB12E1-A5FF-11D1-B2E9-444553540000}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\CLSID\{82351441-9094-11D1-A24B-00A0C932C7DF}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\CLSID\{6DC82D15-92F2-11D1-A255-00A0C932C7DF}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\TypeLib\{82351433-9094-11D1-A24B-00A0C932C7DF}
[-] Schlüssel gelöscht: HKU\.DEFAULT\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\_CrossriderRegNamePlaceHolder_
[-] Schlüssel gelöscht: HKU\.DEFAULT\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\Ge-Force
[-] Schlüssel gelöscht: HKU\.DEFAULT\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\Sense
[#] Schlüssel mit Neustart gelöscht: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\_CrossriderRegNamePlaceHolder_
[#] Schlüssel mit Neustart gelöscht: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\Ge-Force
[#] Schlüssel mit Neustart gelöscht: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\Sense
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\Record\{425E7597-03A2-338D-B72A-0E51FFE77A7E}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\Record\{915BB7D5-082E-3B91-B1E0-45B5FDE01F24}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\Record\{2009AF2F-5786-3067-8799-B97F7832FDD6}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\Record\{FB2E65F4-5687-33EF-9BBF-4E3C9C98D3B9}


***** [ Browser ] *****



*************************

:: "Tracing" Schlüssel gelöscht
:: Winsock Einstellungen zurückgesetzt
:: Proxy Einstellungen zurückgesetzt
:: Internet Explorer Richtlinien gelöscht
:: Chrome Richtlinien gelöscht

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [3648 Bytes] - [31/10/2016 19:48:07]
C:\AdwCleaner\AdwCleaner[S0].txt - [3745 Bytes] - [31/10/2016 19:47:19]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [3794 Bytes] ##########

und JRT:

Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.0.9 (09.30.2016)
Operating System: Windows 7 Professional x64
Ran by Admin auf eins (Administrator) on 31.10.2016 at 19:51:49,72
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 17

Successfully deleted: C:\Users\Admin auf eins\Documents\my pagemanager (Folder)
Successfully deleted: C:\Users\Admin auf eins\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Admin auf eins\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\14BOW2HH (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Admin auf eins\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Admin auf eins\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7MGMF11V (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Admin auf eins\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZG8CKJ5 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Admin auf eins\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IM8RZACS (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Admin auf eins\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\J9LQG8B4 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Admin auf eins\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\14BOW2HH (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7MGMF11V (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZG8CKJ5 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IM8RZACS (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\J9LQG8B4 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA (Temporary Internet Files Folder)



Registry: 3

Successfully deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A5DD10F7-5ABB-4EEF-B4C8-6748D44DAF2A} (Registry Key)
Successfully deleted: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A5DD10F7-5ABB-4EEF-B4C8-6748D44DAF2A} (Registry Key)
Successfully deleted: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar\\{BFD9D8A8-57FF-488A-B919-065EC77CF82F} (Registry Value)




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 31.10.2016 at 19:52:21,25
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

cosinus 31.10.2016 19:58
Dann zeig mal frische FRST Logs. Haken setzen bei addition.txt dann auf Untersuchen klicken

http://www.trojaner-board.de/picture...&pictureid=611

wechselbalg 31.10.2016 21:30
Gerne- sie sehen jetzt so aus:

Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 30-10-2016
durchgeführt von Admin auf eins (Administrator) auf PC-6 (31-10-2016 21:12:43)
Gestartet von C:\Users\eins\Desktop
Geladene Profile: Admin auf eins (Verfügbare Profile: eins & Admin auf eins)
Platform: Windows 7 Professional Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: "C:\Program Files (x86)\Firefox\firefox.exe" -osint -url "%1")
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(ABBYY Production LLC) C:\Program Files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe
(cFos Software GmbH) C:\Program Files\ASRock\XFast LAN\spd.exe
(Foxit Software Inc.) C:\Program Files\pdf\Foxit\Reader\Foxit Cloud\FCUpdateService.exe
(Foxit Software Inc.) C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\FoxitConnectedPDFService.exe
(Intel(R) Corporation) C:\Program Files\Intel\iCLS Client\HeciServer.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
(NewSoft Technology Corporation) C:\Program Files (x86)\Plustek\Software\PageManager 9\PMSpeed.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\Jhi_service.exe
(cFos Software GmbH) C:\Program Files\ASRock\XFast LAN\cfosspeed.exe


==================== Registry (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13513288 2013-03-29] (Realtek Semiconductor)
HKLM\...\Run: [IAStorIcon] => C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [286704 2013-04-30] (Intel Corporation)
HKLM\...\Run: [XFast LAN] => C:\Program Files\ASRock\XFast LAN\cFosSpeed.exe [2009952 2013-05-31] (cFos Software GmbH)
HKLM-x32\...\Run: [USB3MON] => C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe [292848 2013-04-11] (Intel Corporation)
HKLM-x32\...\Run: [PMSpeed9.37.00] => C:\Program Files (x86)\Plustek\Software\PageManager 9\PMSpeed.EXE [125248 2013-05-13] (NewSoft Technology Corporation)
HKLM-x32\...\Run: [Plustek_ScannerSearchTool] => C:\Program Files (x86)\Plustek\Scanner Search Tool\Scanner Search Tool.exe [1662976 2013-09-14] (Scanner Search Tool)
HKLM-x32\...\Run: [DocAction_678U] => C:\Program Files (x86)\Plustek\Plustek SmartOffice PN2040\DocuAction.exe [211456 2013-07-29] ()
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2016-09-22] (Oracle Corporation)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{5C4C30FB-BC82-4490-B66D-3828A8ECDCDC}: [DhcpNameServer] 192.168.178.1

Internet Explorer:
==================
HKU\S-1-5-21-3418458991-977026470-3051313295-1005\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <======= ACHTUNG
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-3418458991-977026470-3051313295-1005\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\ssv.dll [2016-10-29] (Oracle Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\jp2ssv.dll [2016-10-29] (Oracle Corporation)

FireFox:
========
FF DefaultProfile: 0eovk06f.default
FF ProfilePath: C:\Users\Admin auf eins\AppData\Roaming\Mozilla\Firefox\Profiles\0eovk06f.default [2016-10-31]
FF Plugin: @microsoft.com/GENUINE -> C:\Windows\system32\Wat\npWatWeb.dll [2015-01-12] (Microsoft Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/pdf -> C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2016-05-30] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2016-05-30] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2016-05-30] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2016-05-30] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files\pdf\Foxit\Reader\plugins\npFoxitReaderPlugin.dll [2013-07-03] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files\pdf\Foxit\Reader\plugins\npFoxitReaderPlugin.dll [2013-07-03] (Foxit Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=3.0.72 -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll [2013-03-12] (Intel Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll [2013-03-12] (Intel Corporation)
FF Plugin-x32: @java.com/DTPlugin,version=11.111.2 -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\dtplugin\npDeployJava1.dll [2016-10-29] (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=11.111.2 -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\plugin2\npjp2.dll [2016-10-29] (Oracle Corporation)
FF Plugin-x32: @microsoft.com/GENUINE -> C:\Windows\system32\Wat\npWatWeb.dll [2015-01-12] (Microsoft Corporation)
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Firefox\firefox.exe

Chrome:
=======
CHR HKLM\...\Chrome\Extension: [cifnddnffldieaamihfkhkdgnbhfmaci] - C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\\plugins\Creator\ChromeAddin\ChromeAddin.crx [2016-06-23]
CHR HKLM-x32\...\Chrome\Extension: [cifnddnffldieaamihfkhkdgnbhfmaci] - C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\\plugins\Creator\ChromeAddin\ChromeAddin.crx [2016-06-23]

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 ABBYY.Licensing.FineReader.Sprint.9.0; C:\Program Files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [764216 2013-08-15] (ABBYY Production LLC)
R2 cFosSpeedS; C:\Program Files\ASRock\XFast LAN\spd.exe [652640 2013-05-31] (cFos Software GmbH)
R2 FoxitCloudUpdateService; C:\Program Files\pdf\Foxit\Reader\Foxit Cloud\FCUpdateService.exe [243880 2015-01-16] (Foxit Software Inc.)
R2 FoxitPhantomService; C:\Program Files (x86)\pdf\Foxit\Foxit 8.0 Standard\Foxit PhantomPDF\FoxitConnectedPDFService.exe [1647808 2016-06-21] (Foxit Software Inc.)
R2 IAStorDataMgrSvc; C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [15344 2013-04-30] (Intel Corporation)
R2 Intel(R) Capability Licensing Service Interface; C:\Program Files\Intel\iCLS Client\HeciServer.exe [731648 2013-02-13] (Intel(R) Corporation) [Datei ist nicht signiert]
S3 Intel(R) Capability Licensing Service TCP IP Interface; C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [820184 2013-02-13] (Intel(R) Corporation)
R2 Intel(R) ME Service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe [131544 2013-03-12] (Intel Corporation)
S3 iumsvc; C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe [177376 2016-08-12] (Intel Corporation)
R2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [169432 2013-03-12] (Intel Corporation)
S2 MBAMScheduler; C:\Program Files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbamscheduler.exe [1514464 2016-03-10] (Malwarebytes)
S2 MBAMService; C:\Program Files (x86)\Tools\Sicherheit\Malwarebytes Anti-Malware\mbamservice.exe [1136608 2016-03-10] (Malwarebytes)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
R0 iaStorF; C:\Windows\System32\DRIVERS\iaStorF.sys [28656 2013-04-30] (Intel Corporation)
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [27008 2016-03-10] (Malwarebytes)
S3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [64896 2016-03-10] (Malwarebytes Corporation)
R3 NUServer64; C:\Windows\System32\DRIVERS\NUServer64.sys [254464 2011-10-27] (Elite Silicon Technology Inc.)
R3 NUServer64; C:\Windows\SysWOW64\DRIVERS\NUServer64.sys [254464 2011-10-27] (Elite Silicon Technology Inc.)
R3 NUS_Bus64; C:\Windows\System32\DRIVERS\NUS_Bus64.sys [34816 2011-10-14] (Elite Silicon Technology Inc.)
R3 NUS_Bus64; C:\Windows\SysWOW64\DRIVERS\NUS_Bus64.sys [34816 2011-10-14] (Elite Silicon Technology Inc.)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-10-31 21:12 - 2016-10-31 21:12 - 00011764 _____ C:\Users\eins\Desktop\FRST.txt
2016-10-31 21:12 - 2016-10-31 21:12 - 00000000 ____D C:\Users\eins\Desktop\FRST-OlderVersion
2016-10-31 21:04 - 2016-10-31 21:06 - 00000552 _____ C:\Users\eins\Desktop\JRT.txt
2016-10-31 19:52 - 2016-10-31 19:53 - 00003809 _____ C:\Users\Admin auf eins\Desktop\JRT.txt
2016-10-31 19:50 - 2016-10-31 19:50 - 00003891 _____ C:\Users\Admin auf eins\Desktop\AdwCleanerLog.txt
2016-10-31 19:45 - 2016-10-31 21:07 - 00000000 ____D C:\AdwCleaner
2016-10-31 19:43 - 2016-10-31 19:43 - 01631928 _____ (Malwarebytes) C:\Users\eins\Desktop\JRT.exe
2016-10-31 19:42 - 2016-10-31 19:42 - 03910208 _____ C:\Users\eins\Desktop\AdwCleaner_6.030.exe
2016-10-31 16:09 - 2016-10-31 16:18 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2016-10-31 16:04 - 2016-10-31 16:04 - 16563352 _____ (Malwarebytes Corp.) C:\Users\Admin auf eins\Desktop\mbar-1.09.3.1001.exe
2016-10-31 15:21 - 2016-10-31 15:21 - 00012809 _____ C:\ComboFix.txt
2016-10-31 15:17 - 2016-10-31 15:21 - 00000000 ____D C:\Qoobox
2016-10-31 15:17 - 2016-10-31 15:20 - 00000000 ____D C:\Windows\erdnt
2016-10-31 15:17 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
2016-10-31 15:17 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
2016-10-31 15:17 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2016-10-31 15:17 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2016-10-31 15:17 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2016-10-31 15:17 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
2016-10-31 15:17 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
2016-10-31 15:17 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
2016-10-28 17:08 - 2016-10-31 21:12 - 02408960 _____ (Farbar) C:\Users\eins\Desktop\FRST64.exe
2016-10-28 17:08 - 2016-10-31 21:12 - 00000000 ____D C:\FRST
2016-10-27 18:51 - 2016-10-27 19:02 - 00000000 ____D C:\_Unsere Daten
2016-10-27 18:49 - 2016-10-28 14:15 - 00000000 ___RD C:\Datenblätter
2016-10-27 18:27 - 2016-10-28 17:42 - 00000000 ____D C:\vom Cerber am 27.10.16 verschlüsselt
2016-10-27 16:35 - 2016-10-27 16:50 - 00064568 _____ C:\Windows\ntbtlog.txt
2016-10-27 01:00 - 2016-10-27 01:00 - 00115662 _____ C:\Users\eins\Documents\GZj-WmAfHB.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00063083 _____ C:\Users\eins\Downloads\README.hta
2016-10-27 01:00 - 2016-10-27 01:00 - 00063083 _____ C:\Users\eins\Documents\README.hta
2016-10-27 01:00 - 2016-10-27 01:00 - 00053682 _____ C:\Users\eins\Documents\xfThCb6f40.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00051122 _____ C:\Users\eins\Documents\vr8SoRasjx.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00046552 _____ C:\Users\eins\Downloads\s0ysMdmekF.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00015686 _____ C:\Users\eins\Documents\vUTIbCSTzP.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00015253 _____ C:\Users\eins\Documents\MRj79iKyO6.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00015038 _____ C:\Users\eins\Documents\HjvgJiGC7K.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00014652 _____ C:\Users\eins\Documents\VEZrVVo91I.bf61
2016-10-27 01:00 - 2016-10-27 01:00 - 00014371 _____ C:\Users\eins\Documents\OTdgfeewjH.bf61
2016-10-13 14:00 - 2016-10-18 17:48 - 00090112 _____ C:\Users\eins\Desktop\bl 13.10.2016.xls
2016-10-12 15:34 - 2016-09-30 21:13 - 00394448 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2016-10-12 15:34 - 2016-09-30 20:28 - 00346312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iedkcs32.dll
2016-10-12 15:34 - 2016-09-30 16:37 - 05548264 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2016-10-12 15:34 - 2016-09-30 16:20 - 04000488 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2016-10-12 15:34 - 2016-09-30 16:20 - 03944680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2016-10-12 15:34 - 2016-09-30 08:55 - 25765376 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2016-10-12 15:34 - 2016-09-30 07:41 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2016-10-12 15:34 - 2016-09-30 07:40 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2016-10-12 15:34 - 2016-09-30 07:26 - 00066560 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2016-10-12 15:34 - 2016-09-30 07:25 - 02895360 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2016-10-12 15:34 - 2016-09-30 07:25 - 00576000 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2016-10-12 15:34 - 2016-09-30 07:25 - 00417792 _____ (Microsoft Corporation) C:\Windows\system32\html.iec
2016-10-12 15:34 - 2016-09-30 07:25 - 00088064 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2016-10-12 15:34 - 2016-09-30 07:25 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2016-10-12 15:34 - 2016-09-30 07:18 - 00054784 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2016-10-12 15:34 - 2016-09-30 07:17 - 00034304 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2016-10-12 15:34 - 2016-09-30 07:14 - 00615936 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2016-10-12 15:34 - 2016-09-30 07:13 - 00144384 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2016-10-12 15:34 - 2016-09-30 07:13 - 00114688 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2016-10-12 15:34 - 2016-09-30 07:12 - 00817664 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2016-10-12 15:34 - 2016-09-30 07:12 - 00814080 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2016-10-12 15:34 - 2016-09-30 07:09 - 06048256 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2016-10-12 15:34 - 2016-09-30 07:05 - 00968704 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2016-10-12 15:34 - 2016-09-30 07:02 - 00489984 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2016-10-12 15:34 - 2016-09-30 06:55 - 00077824 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2016-10-12 15:34 - 2016-09-30 06:54 - 02724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2016-10-12 15:34 - 2016-09-30 06:54 - 00107520 _____ (Microsoft Corporation) C:\Windows\system32\inseng.dll
2016-10-12 15:34 - 2016-09-30 06:51 - 00199680 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2016-10-12 15:34 - 2016-09-30 06:50 - 00092160 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2016-10-12 15:34 - 2016-09-30 06:47 - 20306944 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2016-10-12 15:34 - 2016-09-30 06:47 - 00315392 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2016-10-12 15:34 - 2016-09-30 06:46 - 00152064 _____ (Microsoft Corporation) C:\Windows\system32\occache.dll
2016-10-12 15:34 - 2016-09-30 06:42 - 00498688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2016-10-12 15:34 - 2016-09-30 06:42 - 00341504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\html.iec
2016-10-12 15:34 - 2016-09-30 06:42 - 00062464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2016-10-12 15:34 - 2016-09-30 06:42 - 00047616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieetwproxystub.dll
2016-10-12 15:34 - 2016-09-30 06:41 - 00064000 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MshtmlDac.dll
2016-10-12 15:34 - 2016-09-30 06:38 - 02286592 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2016-10-12 15:34 - 2016-09-30 06:36 - 00047104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2016-10-12 15:34 - 2016-09-30 06:35 - 00262144 _____ (Microsoft Corporation) C:\Windows\system32\webcheck.dll
2016-10-12 15:34 - 2016-09-30 06:35 - 00030720 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2016-10-12 15:34 - 2016-09-30 06:33 - 00724992 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2016-10-12 15:34 - 2016-09-30 06:33 - 00476160 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2016-10-12 15:34 - 2016-09-30 06:32 - 00806912 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2016-10-12 15:34 - 2016-09-30 06:32 - 00663552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2016-10-12 15:34 - 2016-09-30 06:32 - 00620032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2016-10-12 15:34 - 2016-09-30 06:32 - 00115712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2016-10-12 15:34 - 2016-09-30 06:31 - 02131456 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2016-10-12 15:34 - 2016-09-30 06:31 - 01359360 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2016-10-12 15:34 - 2016-09-30 06:24 - 00416256 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtmsft.dll
2016-10-12 15:34 - 2016-09-30 06:21 - 15257088 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2016-10-12 15:34 - 2016-09-30 06:19 - 00091136 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inseng.dll
2016-10-12 15:34 - 2016-09-30 06:19 - 00060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\JavaScriptCollectionAgent.dll
2016-10-12 15:34 - 2016-09-30 06:17 - 02920960 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2016-10-12 15:34 - 2016-09-30 06:17 - 00168960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrating.dll
2016-10-12 15:34 - 2016-09-30 06:15 - 00076288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2016-10-12 15:34 - 2016-09-30 06:14 - 00279040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtrans.dll
2016-10-12 15:34 - 2016-09-30 06:13 - 00130048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\occache.dll
2016-10-12 15:34 - 2016-09-30 06:12 - 04608512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2016-10-12 15:34 - 2016-09-30 06:07 - 00230400 _____ (Microsoft Corporation) C:\Windows\SysWOW64\webcheck.dll
2016-10-12 15:34 - 2016-09-30 06:05 - 02055680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2016-10-12 15:34 - 2016-09-30 06:05 - 01544192 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2016-10-12 15:34 - 2016-09-30 06:05 - 01155072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmlmedia.dll
2016-10-12 15:34 - 2016-09-30 06:05 - 00693248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2016-10-12 15:34 - 2016-09-30 06:03 - 13653504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2016-10-12 15:34 - 2016-09-30 05:54 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2016-10-12 15:34 - 2016-09-30 05:46 - 02444288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2016-10-12 15:34 - 2016-09-30 05:43 - 01312768 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2016-10-12 15:34 - 2016-09-30 05:42 - 00710144 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2016-10-12 15:34 - 2016-09-15 16:30 - 00976896 _____ (Microsoft Corporation) C:\Windows\system32\inetcomm.dll
2016-10-12 15:34 - 2016-09-15 16:30 - 00084480 _____ (Microsoft Corporation) C:\Windows\system32\INETRES.dll
2016-10-12 15:34 - 2016-09-15 16:15 - 00741888 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcomm.dll
2016-10-12 15:34 - 2016-09-15 16:15 - 00084480 _____ (Microsoft Corporation) C:\Windows\SysWOW64\INETRES.dll
2016-10-12 15:34 - 2016-09-12 22:13 - 00154856 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ksecpkg.sys
2016-10-12 15:34 - 2016-09-12 22:13 - 00095464 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ksecdd.sys
2016-10-12 15:34 - 2016-09-12 22:08 - 01465344 _____ (Microsoft Corporation) C:\Windows\system32\lsasrv.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 01212928 _____ (Microsoft Corporation) C:\Windows\system32\rpcrt4.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00730624 _____ (Microsoft Corporation) C:\Windows\system32\kerberos.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00690688 _____ (Microsoft Corporation) C:\Windows\system32\adtschema.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00463872 _____ (Microsoft Corporation) C:\Windows\system32\certcli.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00345600 _____ (Microsoft Corporation) C:\Windows\system32\schannel.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00316416 _____ (Microsoft Corporation) C:\Windows\system32\msv1_0.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00312320 _____ (Microsoft Corporation) C:\Windows\system32\ncrypt.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00210432 _____ (Microsoft Corporation) C:\Windows\system32\wdigest.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00190464 _____ (Microsoft Corporation) C:\Windows\system32\rpchttp.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00146432 _____ (Microsoft Corporation) C:\Windows\system32\msaudite.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00135680 _____ (Microsoft Corporation) C:\Windows\system32\sspicli.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00107520 _____ (Microsoft Corporation) C:\Windows\system32\adsmsext.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00086528 _____ (Microsoft Corporation) C:\Windows\system32\TSpkg.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00060416 _____ (Microsoft Corporation) C:\Windows\system32\msobjs.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00043520 _____ (Microsoft Corporation) C:\Windows\system32\cryptbase.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00028672 _____ (Microsoft Corporation) C:\Windows\system32\sspisrv.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00028160 _____ (Microsoft Corporation) C:\Windows\system32\secur32.dll
2016-10-12 15:34 - 2016-09-12 22:08 - 00022016 _____ (Microsoft Corporation) C:\Windows\system32\credssp.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00690688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\adtschema.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00666112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rpcrt4.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00553472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\kerberos.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00342528 _____ (Microsoft Corporation) C:\Windows\SysWOW64\certcli.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00260608 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msv1_0.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00254464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\schannel.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00223232 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ncrypt.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00172032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wdigest.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00146432 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msaudite.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00141312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rpchttp.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00096768 _____ (Microsoft Corporation) C:\Windows\SysWOW64\sspicli.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00076800 _____ (Microsoft Corporation) C:\Windows\SysWOW64\adsmsext.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00065536 _____ (Microsoft Corporation) C:\Windows\SysWOW64\TSpkg.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msobjs.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00022016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\secur32.dll
2016-10-12 15:34 - 2016-09-12 21:49 - 00017408 _____ (Microsoft Corporation) C:\Windows\SysWOW64\credssp.dll
2016-10-12 15:34 - 2016-09-12 21:39 - 00064000 _____ (Microsoft Corporation) C:\Windows\system32\auditpol.exe
2016-10-12 15:34 - 2016-09-12 21:37 - 03218944 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2016-10-12 15:34 - 2016-09-12 21:32 - 00291328 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb10.sys
2016-10-12 15:34 - 2016-09-12 21:32 - 00159744 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb.sys
2016-10-12 15:34 - 2016-09-12 21:32 - 00129536 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb20.sys
2016-10-12 15:34 - 2016-09-12 21:31 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\lsass.exe
2016-10-12 15:34 - 2016-09-12 21:29 - 00050176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\auditpol.exe
2016-10-12 15:34 - 2016-09-12 21:25 - 00036352 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptbase.dll
2016-10-12 15:34 - 2016-09-12 20:08 - 01251328 _____ (Microsoft Corporation) C:\Windows\SysWOW64\DWrite.dll
2016-10-12 15:34 - 2016-09-12 19:43 - 01648128 _____ (Microsoft Corporation) C:\Windows\system32\DWrite.dll
2016-10-12 15:34 - 2016-09-12 19:43 - 01180160 _____ (Microsoft Corporation) C:\Windows\system32\FntCache.dll
2016-10-12 15:34 - 2016-09-10 17:19 - 03649536 _____ (Microsoft Corporation) C:\Windows\system32\MSVidCtl.dll
2016-10-12 15:34 - 2016-09-10 16:53 - 02291712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MSVidCtl.dll
2016-10-12 15:34 - 2016-09-09 19:29 - 00631176 _____ (Microsoft Corporation) C:\Windows\system32\winresume.efi
2016-10-12 15:34 - 2016-09-09 19:26 - 00706280 _____ (Microsoft Corporation) C:\Windows\system32\winload.efi
2016-10-12 15:34 - 2016-09-09 19:23 - 01732864 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 01163264 _____ (Microsoft Corporation) C:\Windows\system32\kernel32.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00880640 _____ (Microsoft Corporation) C:\Windows\system32\advapi32.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00503808 _____ (Microsoft Corporation) C:\Windows\system32\srcore.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00419840 _____ (Microsoft Corporation) C:\Windows\system32\KernelBase.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00362496 _____ (Microsoft Corporation) C:\Windows\system32\wow64win.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00243712 _____ (Microsoft Corporation) C:\Windows\system32\wow64.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00215552 _____ (Microsoft Corporation) C:\Windows\system32\winsrv.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00063488 _____ (Microsoft Corporation) C:\Windows\system32\setbcdlocale.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00059904 _____ (Microsoft Corporation) C:\Windows\system32\appidapi.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00050176 _____ (Microsoft Corporation) C:\Windows\system32\srclient.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00044032 _____ (Microsoft Corporation) C:\Windows\system32\csrsrv.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00034816 _____ (Microsoft Corporation) C:\Windows\system32\appidsvc.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00016384 _____ (Microsoft Corporation) C:\Windows\system32\ntvdm64.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00013312 _____ (Microsoft Corporation) C:\Windows\system32\wow64cpu.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00006656 _____ (Microsoft Corporation) C:\Windows\system32\apisetschema.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00006144 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-security-base-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00005120 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-file-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00004608 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00004608 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-processthreads-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-synch-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-localregistry-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-localization-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-misc-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-memory-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-heap-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-util-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-string-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-profile-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-io-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-interlocked-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-handle-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-fibers-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-delayload-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-debug-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-datetime-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:20 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-console-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 19:01 - 01314112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntdll.dll
2016-10-12 15:34 - 2016-09-09 19:00 - 01114112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\kernel32.dll
2016-10-12 15:34 - 2016-09-09 19:00 - 00275456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\KernelBase.dll
2016-10-12 15:34 - 2016-09-09 19:00 - 00043008 _____ (Microsoft Corporation) C:\Windows\SysWOW64\srclient.dll
2016-10-12 15:34 - 2016-09-09 19:00 - 00005120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wow32.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00644096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\advapi32.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00050688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\appidapi.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00006656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\apisetschema.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00005120 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-file-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00004608 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processthreads-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-sysinfo-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-synch-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-misc-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localregistry-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localization-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processenvironment-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-namedpipe-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-memory-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-libraryloader-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-interlocked-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-heap-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-string-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-rtlsupport-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-profile-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-io-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-handle-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-fibers-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-errorhandling-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-delayload-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-debug-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-datetime-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:59 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-console-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:51 - 00148480 _____ (Microsoft Corporation) C:\Windows\system32\appidpolicyconverter.exe
2016-10-12 15:34 - 2016-09-09 18:51 - 00062464 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\appid.sys
2016-10-12 15:34 - 2016-09-09 18:51 - 00017920 _____ (Microsoft Corporation) C:\Windows\system32\appidcertstorecheck.exe
2016-10-12 15:34 - 2016-09-09 18:48 - 00338432 _____ (Microsoft Corporation) C:\Windows\system32\conhost.exe
2016-10-12 15:34 - 2016-09-09 18:47 - 00296960 _____ (Microsoft Corporation) C:\Windows\system32\rstrui.exe
2016-10-12 15:34 - 2016-09-09 18:43 - 00112640 _____ (Microsoft Corporation) C:\Windows\system32\smss.exe
2016-10-12 15:34 - 2016-09-09 18:38 - 00025600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\setup16.exe
2016-10-12 15:34 - 2016-09-09 18:38 - 00014336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntvdm64.dll
2016-10-12 15:34 - 2016-09-09 18:38 - 00007680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\instnm.exe
2016-10-12 15:34 - 2016-09-09 18:38 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\user.exe
2016-10-12 15:34 - 2016-09-09 18:37 - 00006144 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-security-base-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:37 - 00004608 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-threadpool-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:37 - 00003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-xstate-l1-1-0.dll
2016-10-12 15:34 - 2016-09-09 18:37 - 00003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-util-l1-1-0.dll
2016-10-12 15:34 - 2016-09-08 21:34 - 00263680 _____ (Microsoft Corporation) C:\Windows\system32\WebClnt.dll
2016-10-12 15:34 - 2016-09-08 21:34 - 00208896 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WebClnt.dll
2016-10-12 15:34 - 2016-09-08 21:34 - 00108544 _____ (Microsoft Corporation) C:\Windows\system32\davclnt.dll
2016-10-12 15:34 - 2016-09-08 21:34 - 00087040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\davclnt.dll
2016-10-12 15:34 - 2016-09-08 15:55 - 00142336 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxdav.sys
2016-10-12 15:34 - 2016-09-08 15:55 - 00106496 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\dfsc.sys
2016-10-12 15:34 - 2016-08-16 19:47 - 00419640 _____ C:\Windows\SysWOW64\locale.nls
2016-10-12 15:34 - 2016-08-16 19:47 - 00419640 _____ C:\Windows\system32\locale.nls
2016-10-12 15:34 - 2016-08-12 18:02 - 14632960 _____ (Microsoft Corporation) C:\Windows\system32\wmp.dll
2016-10-12 15:34 - 2016-08-12 18:02 - 12574720 _____ (Microsoft Corporation) C:\Windows\system32\wmploc.DLL
2016-10-12 15:34 - 2016-08-12 18:02 - 00009728 _____ (Microsoft Corporation) C:\Windows\system32\spwmp.dll
2016-10-12 15:34 - 2016-08-12 18:02 - 00005120 _____ (Microsoft Corporation) C:\Windows\system32\msdxm.ocx
2016-10-12 15:34 - 2016-08-12 18:02 - 00005120 _____ (Microsoft Corporation) C:\Windows\system32\dxmasf.dll
2016-10-12 15:34 - 2016-08-12 17:47 - 12574208 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wmploc.DLL
2016-10-12 15:34 - 2016-08-12 17:47 - 11410432 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wmp.dll
2016-10-12 15:34 - 2016-08-12 17:31 - 00008192 _____ (Microsoft Corporation) C:\Windows\SysWOW64\spwmp.dll
2016-10-12 15:34 - 2016-08-12 17:31 - 00004096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msdxm.ocx
2016-10-12 15:34 - 2016-08-12 17:31 - 00004096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxmasf.dll
2016-10-12 15:34 - 2016-08-12 17:26 - 00461312 _____ (Microsoft Corporation) C:\Windows\system32\scavengeui.dll
2016-10-12 15:34 - 2016-08-06 16:31 - 02023424 _____ (Microsoft Corporation) C:\Windows\system32\WsmSvc.dll
2016-10-12 15:34 - 2016-08-06 16:31 - 00347136 _____ (Microsoft Corporation) C:\Windows\system32\WSManMigrationPlugin.dll
2016-10-12 15:34 - 2016-08-06 16:31 - 00310784 _____ (Microsoft Corporation) C:\Windows\system32\WsmWmiPl.dll
2016-10-12 15:34 - 2016-08-06 16:31 - 00182272 _____ (Microsoft Corporation) C:\Windows\system32\WsmAuto.dll
2016-10-12 15:34 - 2016-08-06 16:31 - 00054272 _____ (Microsoft Corporation) C:\Windows\system32\WsmRes.dll
2016-10-12 15:34 - 2016-08-06 16:31 - 00012800 _____ (Microsoft Corporation) C:\Windows\system32\wsmplpxy.dll
2016-10-12 15:34 - 2016-08-06 16:15 - 01178112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmSvc.dll
2016-10-12 15:34 - 2016-08-06 16:15 - 00249344 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WSManMigrationPlugin.dll
2016-10-12 15:34 - 2016-08-06 16:15 - 00214016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmWmiPl.dll
2016-10-12 15:34 - 2016-08-06 16:15 - 00146944 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmAuto.dll
2016-10-12 15:34 - 2016-08-06 16:15 - 00054272 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmRes.dll
2016-10-12 15:34 - 2016-08-06 16:01 - 00266752 _____ (Microsoft Corporation) C:\Windows\system32\WSManHTTPConfig.exe
2016-10-12 15:34 - 2016-08-06 16:01 - 00013824 _____ (Microsoft Corporation) C:\Windows\system32\wsmprovhost.exe
2016-10-12 15:34 - 2016-08-06 15:53 - 00199168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WSManHTTPConfig.exe
2016-10-12 15:34 - 2016-08-06 15:53 - 00012288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wsmprovhost.exe
2016-10-12 15:34 - 2016-08-06 15:53 - 00010240 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wsmplpxy.dll
2016-10-12 15:34 - 2016-06-14 18:21 - 00094440 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mountmgr.sys
2016-10-12 15:34 - 2016-06-14 18:16 - 04121600 _____ (Microsoft Corporation) C:\Windows\system32\mf.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 01573888 _____ (Microsoft Corporation) C:\Windows\system32\quartz.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 01483264 _____ (Microsoft Corporation) C:\Windows\system32\crypt32.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 01202176 _____ (Microsoft Corporation) C:\Windows\system32\drmv2clt.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 01068544 _____ (Microsoft Corporation) C:\Windows\system32\cryptui.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00842240 _____ (Microsoft Corporation) C:\Windows\system32\blackbox.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00782848 _____ (Microsoft Corporation) C:\Windows\system32\wmdrmsdk.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00680448 _____ (Microsoft Corporation) C:\Windows\system32\audiosrv.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00641024 _____ (Microsoft Corporation) C:\Windows\system32\msscp.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00632320 _____ (Microsoft Corporation) C:\Windows\system32\evr.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00499712 _____ (Microsoft Corporation) C:\Windows\system32\AUDIOKSE.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00497664 _____ (Microsoft Corporation) C:\Windows\system32\drmmgrtn.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00440320 _____ (Microsoft Corporation) C:\Windows\system32\AudioEng.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00433152 _____ (Microsoft Corporation) C:\Windows\system32\mfplat.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00371712 _____ (Microsoft Corporation) C:\Windows\system32\qdvd.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00325632 _____ (Microsoft Corporation) C:\Windows\system32\msnetobj.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00295936 _____ (Microsoft Corporation) C:\Windows\system32\AudioSes.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00284672 _____ (Microsoft Corporation) C:\Windows\system32\EncDump.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00228864 _____ (Microsoft Corporation) C:\Windows\system32\wintrust.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00206848 _____ (Microsoft Corporation) C:\Windows\system32\mfps.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00190976 _____ (Microsoft Corporation) C:\Windows\system32\cryptsvc.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00187904 _____ (Microsoft Corporation) C:\Windows\system32\pcasvc.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00141824 _____ (Microsoft Corporation) C:\Windows\system32\cryptnet.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00081920 _____ (Microsoft Corporation) C:\Windows\system32\cryptsp.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00037376 _____ (Microsoft Corporation) C:\Windows\system32\pcadm.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00011264 _____ (Microsoft Corporation) C:\Windows\system32\msmmsp.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00008704 _____ (Microsoft Corporation) C:\Windows\system32\pcaevts.dll
2016-10-12 15:34 - 2016-06-14 18:16 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\mferror.dll
2016-10-12 15:34 - 2016-06-14 18:11 - 00663552 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\PEAuth.sys
2016-10-12 15:34 - 2016-06-14 16:21 - 03209216 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mf.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 01329664 _____ (Microsoft Corporation) C:\Windows\SysWOW64\quartz.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 01176064 _____ (Microsoft Corporation) C:\Windows\SysWOW64\crypt32.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 01005056 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptui.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00988160 _____ (Microsoft Corporation) C:\Windows\SysWOW64\drmv2clt.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00744960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\blackbox.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00617984 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wmdrmsdk.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00519680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\qdvd.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00504320 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msscp.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00489984 _____ (Microsoft Corporation) C:\Windows\SysWOW64\evr.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00442368 _____ (Microsoft Corporation) C:\Windows\SysWOW64\AUDIOKSE.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00406016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\drmmgrtn.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00374784 _____ (Microsoft Corporation) C:\Windows\SysWOW64\AudioEng.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00354816 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfplat.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00265216 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msnetobj.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00195072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\AudioSes.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00179200 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wintrust.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00145920 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptsvc.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00106496 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptnet.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00103424 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfps.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00080896 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptsp.dll
2016-10-12 15:34 - 2016-06-14 16:21 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mferror.dll
2016-10-12 15:34 - 2016-06-14 16:15 - 00125952 _____ (Microsoft Corporation) C:\Windows\system32\audiodg.exe
2016-10-12 15:34 - 2016-06-14 16:15 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\rrinstaller.exe
2016-10-12 15:34 - 2016-06-14 16:15 - 00024576 _____ (Microsoft Corporation) C:\Windows\system32\mfpmp.exe
2016-10-12 15:34 - 2016-06-14 16:05 - 00050176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rrinstaller.exe
2016-10-12 15:34 - 2016-06-14 16:05 - 00023040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfpmp.exe
2016-10-12 15:34 - 2016-06-14 16:00 - 00011264 _____ (Microsoft Corporation) C:\Windows\system32\pcawrk.exe
2016-10-12 15:34 - 2016-06-14 16:00 - 00009728 _____ (Microsoft Corporation) C:\Windows\system32\pcalua.exe
2016-10-12 15:33 - 2016-07-22 15:58 - 00142336 _____ (Microsoft Corporation) C:\Windows\system32\poqexec.exe
2016-10-12 15:33 - 2016-07-22 15:51 - 00123904 _____ (Microsoft Corporation) C:\Windows\SysWOW64\poqexec.exe

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-10-31 21:12 - 2014-12-12 11:26 - 00701206 _____ C:\Windows\system32\perfh007.dat
2016-10-31 21:12 - 2014-12-12 11:26 - 00149500 _____ C:\Windows\system32\perfc007.dat
2016-10-31 21:12 - 2009-07-14 06:13 - 01624730 _____ C:\Windows\system32\PerfStringBackup.INI
2016-10-31 21:12 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\inf
2016-10-31 21:10 - 2014-12-18 20:42 - 00000000 ____D C:\Users\eins\AppData\Roaming\.oit
2016-10-31 21:08 - 2015-10-14 08:48 - 00000000 ____D C:\Users\Admin auf eins\AppData\Roaming\.oit
2016-10-31 21:08 - 2014-12-23 13:47 - 00192216 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2016-10-31 21:07 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-10-31 21:07 - 2009-07-14 05:45 - 00026080 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-10-31 21:07 - 2009-07-14 05:45 - 00026080 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-10-31 19:57 - 2015-01-08 15:37 - 00000008 __RSH C:\Users\eins\ntuser.pol
2016-10-31 19:57 - 2014-12-11 20:44 - 00000000 ____D C:\Users\eins
2016-10-31 19:47 - 2015-10-14 08:48 - 00000008 __RSH C:\Users\Admin auf eins\ntuser.pol
2016-10-31 19:47 - 2015-10-14 08:48 - 00000000 ____D C:\Users\Admin auf eins
2016-10-31 19:39 - 2014-12-17 20:08 - 00000000 ___RD C:\_00 (eins)
2016-10-31 16:06 - 2014-12-23 13:47 - 00109272 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys
2016-10-31 15:20 - 2009-07-14 03:34 - 00000215 _____ C:\Windows\system.ini
2016-10-31 12:55 - 2016-06-27 16:49 - 00000000 ____D C:\ProgramData\Foxit Software
2016-10-29 13:11 - 2014-12-27 18:09 - 00000000 ____D C:\ProgramData\Oracle
2016-10-29 13:11 - 2014-12-27 18:09 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2016-10-29 13:11 - 2014-12-27 18:09 - 00000000 ____D C:\Program Files (x86)\Java
2016-10-29 13:10 - 2014-12-27 18:09 - 00097856 _____ (Oracle Corporation) C:\Windows\SysWOW64\WindowsAccessBridge-32.dll
2016-10-27 18:23 - 2009-07-14 06:37 - 00000000 ____D C:\Windows\DigitalLocker
2016-10-27 16:23 - 2009-07-14 05:57 - 00001547 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk
2016-10-27 10:48 - 2015-02-02 11:24 - 00003850 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1422872646
2016-10-27 10:48 - 2015-02-02 11:22 - 00000000 ____D C:\Program Files (x86)\Opera
2016-10-27 10:43 - 2014-12-12 12:29 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2016-10-27 10:39 - 2014-12-19 10:45 - 00000000 ____D C:\Users\Public\Documents\ScanDoc
2016-10-26 16:29 - 2010-11-21 04:27 - 00485032 ____N (Microsoft Corporation) C:\Windows\system32\MpSigStub.exe
2016-10-18 13:44 - 2014-12-12 13:42 - 00003718 _____ C:\Windows\System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473
2016-10-17 17:59 - 2014-12-12 13:42 - 00003476 _____ C:\Windows\System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473-Logon
2016-10-12 20:54 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\rescache
2016-10-12 20:17 - 2009-07-14 05:45 - 00473360 _____ C:\Windows\system32\FNTCACHE.DAT
2016-10-12 20:17 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\SysWOW64\Dism
2016-10-12 20:17 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\Dism
2016-10-12 20:02 - 2014-12-11 21:42 - 00000000 ____D C:\Windows\system32\MRT
2016-10-12 20:00 - 2014-12-11 21:42 - 143495576 ____C (Microsoft Corporation) C:\Windows\system32\MRT.exe
2016-10-05 16:20 - 2016-01-15 18:26 - 00000000 ____D C:\Users\eins\AppData\Local\microtech

Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\Admin auf eins\license.dat
C:\Users\eins\license.dat


Einige Dateien in TEMP:
====================
C:\Users\Admin auf eins\AppData\Local\Temp\libeay32.dll
C:\Users\Admin auf eins\AppData\Local\Temp\msvcr120.dll
C:\Users\Admin auf eins\AppData\Local\Temp\sqlite3.dll
C:\Users\eins\AppData\Local\Temp\libeay32.dll
C:\Users\eins\AppData\Local\Temp\msvcr120.dll
C:\Users\eins\AppData\Local\Temp\sqlite3.dll


==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2016-10-24 23:55

==================== Ende von FRST.txt ============================

Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 30-10-2016
durchgeführt von Admin auf eins (31-10-2016 21:12:54)
Gestartet von C:\Users\eins\Desktop
Windows 7 Professional Service Pack 1 (X64) (2014-12-11 19:44:52)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Admin auf eins (S-1-5-21-3418458991-977026470-3051313295-1005 - Administrator - Enabled) => C:\Users\Admin auf eins
Administrator (S-1-5-21-3418458991-977026470-3051313295-500 - Administrator - Disabled)
Alfred (S-1-5-21-3418458991-977026470-3051313295-1004 - Limited - Enabled)
Gast (S-1-5-21-3418458991-977026470-3051313295-501 - Limited - Enabled)
inel (S-1-5-21-3418458991-977026470-3051313295-1003 - Limited - Enabled)
eins (S-1-5-21-3418458991-977026470-3051313295-1000 - Limited - Enabled) => C:\Users\eins

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

4Team Sync2 (HKLM-x32\...\{405A02AA-8AE7-4BEF-A7A6-E03EFB6E1431}) (Version: 1.70.0833 - 4Team Corporation)
ABBYY FineReader 9.0 Sprint (HKLM-x32\...\ABBYY FineReader 9.0 Sprint) (Version: 9.00.90.58241 - ABBYY)
ABBYY FineReader 9.0 Sprint (x32 Version: 9.00.90.58241 - ABBYY) Hidden
BeCyPDFMetaEdit (HKLM-x32\...\BeCyPDFMetaEdit) (Version: 2.37.0 - Benjamin Bentmann)
büro+ (HKLM-x32\...\{4514B037-355D-4B8E-B9B4-8E71C94D2206}) (Version: 17.0.5600.0 - microtech GmbH)
Corel Graphics Suite 11 (x32 Version: 11 - Corel Corporation) Hidden
CorelDRAW Graphics Suite 11 (HKLM-x32\...\InstallShield_{1C63DD23-6554-4A1F-8D0D-B5A6B49D8015}) (Version: 11 - Corel Corporation)
Foxit Cloud (HKLM-x32\...\{41914D8B-9D6E-4764-A1F9-BC43FB6782C1}_is1) (Version: 2.6.36.116 - Foxit Software Inc.)
Foxit PhantomPDF Standard (HKLM-x32\...\{8576A8CC-3A24-11E6-A6C0-000C29FC3B44}) (Version: 8.0.0.624 - Foxit Software Inc.)
Foxit Reader (HKLM-x32\...\Foxit Reader_is1) (Version: 6.1.5.624 - Foxit Corporation)
FTPRush 2.1.8 (HKLM-x32\...\FTP Rush_is1) (Version: 2.1.8 - wftpserver.com)
Intel(R) Management Engine Components (HKLM-x32\...\{65153EA5-8B6E-43B6-857B-C6E4FC25798A}) (Version: 9.0.0.1323 - Intel Corporation)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.18.10.3186 - Intel Corporation)
Intel(R) Rapid Storage Technology (HKLM\...\{409CB30E-E457-4008-9B1A-ED1B9EA21140}) (Version: 12.6.0.1033 - Intel Corporation)
Intel(R) SDK for OpenCL - CPU Only Runtime Package (HKLM-x32\...\{FCB3772C-B7D0-4933-B1A9-3707EBACC573}) (Version: 3.0.0.66956 - Intel Corporation)
Intel(R) Update Manager (HKLM-x32\...\{7224B7CE-196C-4E2A-A1AE-1D7BF259FD36}) (Version: 3.4.1942 - Intel Corporation)
Intel(R) USB 3.0 eXtensible Host Controller Driver (HKLM-x32\...\{240C3DDD-C5E9-4029-9DF7-95650D040CF2}) (Version: 2.0.0.102 - Intel Corporation)
Java 8 Update 111 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180111F0}) (Version: 8.0.1110.14 - Oracle Corporation)
Macromedia Dreamweaver 8 (HKLM-x32\...\{44025BD7-AD10-4769-99AE-6378FD0303D6}) (Version: 8.0.0.2751 - Macromedia)
Macromedia Extension Manager (HKLM-x32\...\{0F022A2E-7022-497D-90A5-0F46746D8275}) (Version: 1.7.270 - Ihr Firmenname)
Malwarebytes Anti-Malware Version 2.0.4.1028 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.4.1028 - Malwarebytes Corporation)
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Extended (HKLM\...\Microsoft .NET Framework 4 Extended) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Office 2007 Service Pack 3 (SP3) (HKLM-x32\...\{91120000-00CA-0000-0000-0000000FF1CE}_SMALLBUSINESSR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}) (Version:  - Microsoft)
Microsoft Office Small Business 2007 (HKLM-x32\...\SMALLBUSINESSR) (Version: 12.0.6612.1000 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}) (Version: 8.0.61000 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 (HKLM-x32\...\{CA8A885F-E95B-3FC6-BB91-F4D9377C7686}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Mozilla Firefox 49.0.2 (x86 de) (HKLM-x32\...\Mozilla Firefox 49.0.2 (x86 de)) (Version: 49.0.2 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 49.0.2.6136 - Mozilla)
Opera Stable 41.0.2353.46 (HKLM-x32\...\Opera 41.0.2353.46) (Version: 41.0.2353.46 - Opera Software)
PDF Password Remover v3.0 (HKLM-x32\...\PDF Password Remover v3.0_is1) (Version:  - VeryPDF.com Inc)
PDF Password Remover v5.0 (HKLM-x32\...\PDF Password Remover v5.0_is1) (Version:  - VeryPDF.com Inc.)
Plustek SmartOffice PN2040 (HKLM-x32\...\{7143F039-D27E-470D-90AD-AE363C4B539E}) (Version: 5.1.0 - Plustek Inc.)
Presto! PageManager 9.37  (HKLM-x32\...\{7EAA0477-3379-4222-8656-9D11F1A3C6EC}) (Version: 9.37.00 - Newsoft Technology Corporation)
Realtek Ethernet Controller Driver (HKLM-x32\...\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}) (Version: 7.68.201.2013 - Realtek)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6873 - Realtek Semiconductor Corp.)
Scanner Search Tool (HKLM-x32\...\{B1C5B144-7F59-4E94-9C94-EF43456D00B6}) (Version: 5.0.0.03 - Plustek Inc.)
SmartTools Publishing • Word Classic Menu (HKLM-x32\...\SmartToolsClassic Menuv2.00) (Version: v2.00 - SmartTools Publishing)
SyncBackFree (HKLM-x32\...\SyncBackFree_is1) (Version: 7.6.8.0 - 2BrightSparks)
TextPad 5 (HKLM-x32\...\{B6EC7388-E277-4A5B-8C8F-71067A41BA64}) (Version: 5.2.0 - Helios)
Tool zum Entfernen verborgener Daten (HKLM-x32\...\{90F80407-6000-11D3-8CFE-0150048383C9}) (Version: 11.0.6361.0 - Microsoft Corporation)
Update for 2007 Microsoft Office System (KB967642) (HKLM-x32\...\{91120000-00CA-0000-0000-0000000FF1CE}_SMALLBUSINESSR_{C444285D-5E4F-48A4-91DD-47AAAA68E92D}) (Version:  - Microsoft)
XFast LAN v9.05 (HKLM\...\XFast LAN) (Version: 9.05 - cFos Software GmbH, Bonn)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {26526046-6AF2-42C5-A553-EFB484DCCE13} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473-Logon => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe [2016-08-12] (Intel Corporation)
Task: {5F09D371-B06A-4A81-897D-E1DD903C1E5E} - System32\Tasks\ServerNeustart => C:\_00 (eins)\ServerNeustart.bat [2016-02-29] () <==== ACHTUNG
Task: {BFA8CD11-D68D-4260-AC17-DBD7F07A6140} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe [2016-08-12] (Intel Corporation)
Task: {F0016A59-C196-4C83-8704-B80694B3098B} - System32\Tasks\Opera scheduled Autoupdate 1422872646 => C:\Program Files (x86)\Opera\launcher.exe [2016-10-24] (Opera Software)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2014-12-18 20:40 - 2008-11-17 14:56 - 00102400 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\nsSign.dll
2014-12-18 20:40 - 2013-07-31 09:34 - 00061440 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PerformOcr.dll
2014-12-18 20:40 - 2013-07-22 11:09 - 00061440 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMISM.dll
2014-12-18 20:40 - 2011-12-22 13:36 - 00098304 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\Qem.dll
2014-12-18 20:40 - 2013-07-31 09:17 - 00167936 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMCommon.dll
2014-12-18 20:40 - 2013-07-22 11:08 - 00069632 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PHooKDlg.dll
2014-12-18 20:40 - 2012-03-28 09:55 - 01182444 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\libcairo-2.dll
2014-12-18 20:40 - 2012-08-02 15:33 - 00211616 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\libfontconfig-1.dll
2014-12-18 20:40 - 2012-08-02 15:33 - 00125496 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\libexpat-1.dll
2014-12-18 20:40 - 2012-08-02 15:33 - 00457888 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\freetype6.dll
2014-12-18 20:40 - 2012-08-02 15:33 - 00235304 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\libpng14-14.dll
2014-12-18 20:40 - 2012-08-02 15:34 - 00105120 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\zlib1.dll
2014-12-18 20:40 - 2009-08-06 10:22 - 00421888 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\FT.dll
2014-12-18 20:40 - 2013-07-22 11:10 - 00139264 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMSet.dll
2014-12-18 20:40 - 2013-07-22 11:06 - 00135168 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\ComClass.dll
2014-12-18 20:40 - 2013-07-22 11:06 - 00344064 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\CloudManager.dll
2014-12-18 20:40 - 2013-07-31 14:38 - 00118784 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMSave.dll
2014-12-18 20:40 - 2013-08-19 10:48 - 00663552 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMDB_N.dll
2014-12-18 20:40 - 2007-03-30 11:08 - 00034896 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\NSWinZip.dll
2014-12-18 20:40 - 2013-07-10 10:20 - 00049152 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMINSO.dll
2014-12-18 20:40 - 2013-07-22 11:08 - 00151552 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMANO.dll
2014-12-18 20:40 - 2013-04-26 14:06 - 00053248 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMOffice.dll
2014-12-18 20:40 - 2013-08-19 15:46 - 00176640 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\ScanModule.dll
2014-12-18 20:40 - 2013-08-19 10:51 - 00331776 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMTree.dll
2014-12-18 20:40 - 2013-07-22 11:13 - 00110592 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMProp.dll
2014-12-18 20:40 - 2013-07-22 11:12 - 00040960 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMVoice.dll
2014-12-18 20:40 - 2013-06-22 11:10 - 00077824 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\OutlookVBA.dll
2014-12-18 20:40 - 2013-07-31 09:20 - 00344064 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMAppBar.dll
2014-12-18 20:40 - 2013-08-19 10:49 - 04657152 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMView.dll
2014-12-18 20:40 - 2007-03-30 10:01 - 00038992 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\NsOEMKey.dll
2014-12-18 20:40 - 2013-07-31 09:35 - 00442368 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMPageVW.dll
2014-12-18 20:40 - 2013-07-22 11:13 - 00106496 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMDocVW.dll
2014-12-18 20:40 - 2013-07-22 11:11 - 01036288 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\SlideBarDLL.dll
2014-12-18 20:40 - 2013-07-22 11:08 - 00323584 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMAnoSet.dll
2014-12-18 20:40 - 2013-07-22 11:13 - 00184320 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMImgVW.dll
2014-12-18 20:40 - 2013-07-22 11:16 - 00040960 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMIEVW.dll
2014-12-18 20:40 - 2013-07-22 11:18 - 00049152 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMPDFView.dll
2014-12-18 20:40 - 2013-07-22 11:09 - 00098304 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMApSet.dll
2014-12-18 20:40 - 2013-06-22 11:12 - 00065536 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMStatus.dll
2014-12-18 20:40 - 2013-08-19 14:39 - 00319488 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMScnSet.dll
2014-12-18 20:40 - 2013-07-22 11:15 - 00028672 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\Import.dll
2014-12-18 20:40 - 2013-07-22 11:14 - 00098304 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\PMImageSplitter.dll
2014-12-18 20:40 - 2013-06-22 11:09 - 00081920 _____ () C:\Program Files (x86)\Plustek\Software\PageManager 9\NetFun2K.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 03:34 - 2016-10-31 15:20 - 00000027 ____A C:\Windows\system32\Drivers\etc\hosts

127.0.0.1      localhost

==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-3418458991-977026470-3051313295-1005\Control Panel\Desktop\\Wallpaper -> C:\Users\Admin auf eins\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 0) (EnableLUA: 0)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [TCP Query User{A9DFA763-3E37-4F35-B2BC-744D6A1674FB}C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe] => (Allow) C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe
FirewallRules: [UDP Query User{168F2B38-CF31-4588-BA7E-A07EFE302400}C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe] => (Allow) C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe
FirewallRules: [TCP Query User{CAAA873F-961C-44E8-8FB0-65BF3FBD8F9D}C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe] => (Block) C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe
FirewallRules: [UDP Query User{62CB16BB-E8FF-4061-AFCF-B6DF107DBBC6}C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe] => (Block) C:\program files (x86)\plustek\scanner search tool\scanner search tool.exe
FirewallRules: [{DD084738-92C0-4BED-B83A-370A087C1737}] => (Allow) C:\Program Files (x86)\Firefox\firefox.exe
FirewallRules: [{CC231FF6-E12B-4B77-9F08-3F02F2CA7412}] => (Allow) C:\Program Files (x86)\Firefox\firefox.exe
FirewallRules: [{58256D99-B131-4DC4-AE18-47518F62F0DD}] => (Allow) C:\Program Files (x86)\Warenwirtschaft\Microtech\Buero Plus NexT\BpNexT.exe
FirewallRules: [{8808AB3D-3AAB-4097-8EB0-7F01A58DE734}] => (Allow) C:\Program Files (x86)\Warenwirtschaft\Microtech\Buero Plus NexT\BpNexT.exe
FirewallRules: [{130D0290-EB5E-4ED9-B81C-20134ACD44D0}] => (Allow) C:\Program Files (x86)\Firefox\firefox.exe
FirewallRules: [{E1B7CAD6-68CA-45A3-8DCF-84485BBAD8FB}] => (Allow) C:\Program Files (x86)\Firefox\firefox.exe

==================== Wiederherstellungspunkte =========================

31-10-2016 19:51:49 JRT Pre-Junkware Removal

==================== Fehlerhafte Geräte im Gerätemanager =============

Name:
Description:
Class Guid:
Manufacturer:
Service:
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: USB Server
Description: USB Server
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (10/31/2016 09:11:26 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm Scanner Search Tool.exe, Version 1.1.0.1 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: ab0

Startzeit: 01d233b2dd7307f7

Endzeit: 20561

Anwendungspfad: C:\Program Files (x86)\Plustek\Scanner Search Tool\Scanner Search Tool.exe

Berichts-ID: 25ba4cec-9fa6-11e6-bb46-600292b3fc1a

Error: (10/31/2016 09:09:54 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (10/31/2016 09:05:22 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (10/31/2016 07:59:31 PM) (Source: Outlook) (EventID: 34) (User: )
Description: Fehler beim Abrufen des Crawlbereichs-Managers. Fehler=0x8001010d.

Error: (10/31/2016 07:50:35 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (10/31/2016 06:12:44 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm Dreamweaver.exe, Version 8.0.0.2751 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: cb0

Startzeit: 01d23399ef36fc52

Endzeit: 0

Anwendungspfad: C:\Program Files (x86)\Internetprogramme\Dreamweaver 8\Dreamweaver.exe

Berichts-ID: 3ba52f06-9f8d-11e6-b23c-600292b3fc1a

Error: (10/31/2016 04:41:27 PM) (Source: Outlook) (EventID: 34) (User: )
Description: Fehler beim Abrufen des Crawlbereichs-Managers. Fehler=0x8001010d.

Error: (10/31/2016 03:14:37 PM) (Source: MsiInstaller) (EventID: 11730) (User: PC-6)
Description: Product: Foxit PhantomPDF Standard -- Error 1730. You must be an Administrator to remove this application. To remove this application, you can log on as an Administrator, or contact your technical support group for assistance.

Error: (10/31/2016 11:23:48 AM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.

Error: (10/29/2016 11:30:50 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "c:\program files\microsoft office\Office12\smart tools classic\adxloader.dll.Manifest" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.


Systemfehler:
=============
Error: (10/31/2016 07:48:24 PM) (Source: Service Control Manager) (EventID: 7032) (User: )
Description: Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden des Dienstes "Windows Search" Korrekturmaßnahmen (Neustart des Diensts) durchzuführen, ist fehlgeschlagen. Fehler:
Es wird bereits eine Instanz des Dienstes ausgeführt.

Error: (10/31/2016 07:47:54 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (10/31/2016 07:47:54 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Intel(R) Dynamic Application Loader Host Interface Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/31/2016 07:47:54 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Intel(R) ME Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/31/2016 07:47:54 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Intel(R) Rapid Storage Technology" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/31/2016 07:47:54 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Search" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (10/31/2016 07:47:54 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Intel(R) Capability Licensing Service Interface" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (10/31/2016 07:47:54 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "FoxitPhantomService" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/31/2016 07:47:54 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Foxit Cloud Safe Update Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/31/2016 07:47:54 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "cFosSpeed System Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.


CodeIntegrity:
===================================
  Date: 2016-10-31 15:19:51.592
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2016-10-31 15:19:51.577
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.


==================== Speicherinformationen ===========================

Prozessor: Intel(R) Core(TM) i5-4570T CPU @ 2.90GHz
Prozentuale Nutzung des RAM: 35%
Installierter physikalischer RAM: 3769.34 MB
Verfügbarer physikalischer RAM: 2442.93 MB
Summe virtueller Speicher: 7536.86 MB
Verfügbarer virtueller Speicher: 6302.58 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:119.14 GB) (Free:18.61 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 119.2 GB) (Disk ID: 3AA0BECC)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=119.1 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================
Gruß
wechselbalg

cosinus 01.11.2016 08:57
FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
HKU\S-1-5-21-3418458991-977026470-3051313295-1005\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <======= ACHTUNG
emptytemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.


wechselbalg 01.11.2016 12:06
Hi Cosinus,

gerne - hier ist sie:

Code:
Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 30-10-2016
durchgeführt von Admin auf eins (01-11-2016 09:51:47) Run:1
Gestartet von C:\Users\eins\Desktop
Geladene Profile: eins & Admin auf eins (Verfügbare Profile: eins & Admin auf eins)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
HKU\S-1-5-21-3418458991-977026470-3051313295-1005\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <======= ACHTUNG
emptytemp:

*****************

"HKU\S-1-5-21-3418458991-977026470-3051313295-1005\SOFTWARE\Policies\Microsoft\Internet Explorer" => Schlüssel erfolgreich entfernt

=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17982097 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 11829 B
Edge => 0 B
Chrome => 0 B
Firefox => 55553640 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 66356 B
systemprofile32 => 65960 B
LocalService => 0 B
NetworkService => 271420 B
inel-eins => 297643696 B
Admin auf eins => 15733414 B

RecycleBin => 0 B
EmptyTemp: => 369.4 MB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 09:51:50 ====

cosinus 01.11.2016 12:15
Okay, dann Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:


1. Schritt: MBAM

Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.




2. Schritt: ESET

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




3. Schritt: SecurityCheck

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

wechselbalg 01.11.2016 17:44
So, dann wolln mer mal:

MABM
Code:
Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Date: 01.11.2016
Scan Time: 15:46
Logfile: mbam.txt
Administrator: Yes

Version: 2.2.1.1043
Malware Database: v2016.11.01.08
Rootkit Database: v2016.10.31.01
License: Trial
Malware Protection: Enabled
Malicious Website Protection: Enabled
Self-protection: Disabled

OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: Admin auf eins

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 352211
Time Elapsed: 2 min, 1 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 0
(No malicious items detected)

Registry Values: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 0
(No malicious items detected)

Physical Sectors: 0
(No malicious items detected)


(end)

ESET
Code:
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=df7dc5b3782b8b4ebd6a562d605eedb0
# end=init
# utc_time=2016-11-01 02:57:24
# local_time=2016-11-01 03:57:24 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
Update Init
Update Download
Update Finalize
Updated modules version: 31265
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=df7dc5b3782b8b4ebd6a562d605eedb0
# end=updated
# utc_time=2016-11-01 03:54:47
# local_time=2016-11-01 04:54:47 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=df7dc5b3782b8b4ebd6a562d605eedb0
# engine=31265
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2016-11-01 04:11:57
# local_time=2016-11-01 05:11:57 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 22272 229646567 0 0
# scanned=508937
# found=508
# cleaned=0
# scan_time=1029
sh=DDD7E789E67132CF6C5D8169B2F46E3498FCA60F ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\eins\AppData\Roaming\DIDBW"
sh=9413821E4285C46DAF48156B472065FC2D763FE8 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\eins\AppData\Roaming\FCG"
sh=01DC5B1CEC41C889C27A87B3D3233AAD658A7EF7 ft=0 fh=0000000000000000 vn="Win32/Filecoder.Cerber Trojaner" ac=I fn="C:\Users\eins\AppData\Roaming\Corel\Graphics11\Benutzer CorelPHOTO-PAINT\Benutzer-Voreinstellungen\Benutzer-Pinsel\README.hta"
sh=01DC5B1CEC41C889C27A87B3D3233AAD658A7EF7 ft=0 fh=0000000000000000 vn="Win32/Filecoder.Cerber Trojaner" ac=I fn="C:\Users\eins\Documents\README.hta"
...hier massig Funde von den readme.hta Dateien, die Cerber pro verschlüsseltem Ordner erstellt. Aber alle in meinem Ordner namens "vom Cerber am 27.10.16 verschlüsselt"...
sh=01DC5B1CEC41C889C27A87B3D3233AAD658A7EF7 ft=0 fh=0000000000000000 vn="Win32/Filecoder.Cerber Trojaner" ac=I fn="C:\vom Cerber am 27.10.16 verschlüsselt\eins\_Unsere Daten\Uschi\Weihnacht u. Neujahr\README.hta"
sh=01DC5B1CEC41C889C27A87B3D3233AAD658A7EF7 ft=0 fh=0000000000000000 vn="Win32/Filecoder.Cerber Trojaner" ac=I fn="C:\vom Cerber am 27.10.16 verschlüsselt\eins\_Unsere Daten\Verein\README.hta"
sh=36CB1A5D44626F1787AFAD6C9498F418E1E9B532 ft=1 fh=2ace01794e8a8b9a vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\Smartbar.Common.dll"
sh=F921766E3F199DDF0F1A29767410D44F1E505347 ft=1 fh=c17c328ef6445ed2 vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\Smartbar.Communication.dll"
sh=B9C19D20B0D96E3D9C8E72ED0791C6FB2B77AAAD ft=1 fh=ff125595eb936734 vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\Smartbar.Communication.NamedPipe.dll"
sh=55A5A51FCCC8524D0912C882F30A25BC1843475F ft=1 fh=ee241c09135b086d vn="Variante von MSIL/Toolbar.Linkury.T evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\Smartbar.Infrastructure.Utilities.dll"
sh=B95AB99B30A0CF4043CD92A33D5FE09E603E1ADC ft=1 fh=5342d8df52c830a3 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\Smartbar.Personalization.Common.dll"
sh=083E59D5CD3500CF0BBDFC59CC4B39645C5CA83A ft=1 fh=1b7719d2674458f9 vn="Variante von MSIL/Toolbar.Linkury.I evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\Smartbar.Resources.HistoryAndStatsWrapper.dll"
sh=4D19E1FC12C9F2D1BB673CB02511E4EE86B87EBE ft=1 fh=ec73789bd2de0d47 vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\sppsm.dll"
sh=B9E7A461796E22B87226172152D83213002081AC ft=1 fh=74353f1bba4f89f2 vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\spusm.dll"
sh=414B92ED8436DF7E9A419EC87EC89E82F2138D0D ft=1 fh=2b0843e909b31f3c vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\srbhu.dll"
sh=7D37E07482CA5D2EDC014784A215917F63A294F5 ft=1 fh=a9866ae28e6f19a4 vn="Variante von MSIL/Toolbar.Linkury.F evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\srbu.dll"
sh=0D453EE1699DFB5425FF950030B98D2BB78F782C ft=1 fh=81d42cc0c17a6de4 vn="Variante von MSIL/Toolbar.Linkury.AL evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\srpt.dll"
sh=90948FD08FA61D38913DC0D988B830C55D0A45EC ft=1 fh=ed3bd3e2a46ff9be vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\srptc.dll"
sh=5C24ED652A4145635BCCE2DB27A6CBF6A48518C6 ft=1 fh=475423da9134a418 vn="Variante von MSIL/Toolbar.Linkury.M.gen evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\srut.dll"
sh=36CB1A5D44626F1787AFAD6C9498F418E1E9B532 ft=1 fh=2ace01794e8a8b9a vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Common.dll"
sh=F921766E3F199DDF0F1A29767410D44F1E505347 ft=1 fh=c17c328ef6445ed2 vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Communication.dll"
sh=B9C19D20B0D96E3D9C8E72ED0791C6FB2B77AAAD ft=1 fh=ff125595eb936734 vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Communication.NamedPipe.dll"
sh=78DFF1176D3C451ECADAD933E47CB53C5FD41112 ft=1 fh=55b0d56374442972 vn="Variante von MSIL/Toolbar.Linkury.AM evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.GUI.Controls.dll"
sh=725CDC037C027FCD32F110EEE1816C33731EDE20 ft=1 fh=56b71c00025bb224 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Infrastructure.BusinessEntities.dll"
sh=55A5A51FCCC8524D0912C882F30A25BC1843475F ft=1 fh=ee241c09135b086d vn="Variante von MSIL/Toolbar.Linkury.T evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Infrastructure.Utilities.dll"
sh=B95AB99B30A0CF4043CD92A33D5FE09E603E1ADC ft=1 fh=5342d8df52c830a3 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Personalization.Common.dll"
sh=083E59D5CD3500CF0BBDFC59CC4B39645C5CA83A ft=1 fh=1b7719d2674458f9 vn="Variante von MSIL/Toolbar.Linkury.I evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Resources.HistoryAndStatsWrapper.dll"
sh=E103041EF18E8763402BB931A4469605E99882F8 ft=1 fh=6c2c5200165ca4b8 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Resources.Translations.dll"
sh=8B6287A98E7CC7403B070D2EF07C4E2BFCEF0403 ft=1 fh=c04b514b90e70a4d vn="Variante von MSIL/Toolbar.Linkury.I evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\spbe.dll"
sh=4D19E1FC12C9F2D1BB673CB02511E4EE86B87EBE ft=1 fh=ec73789bd2de0d47 vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\sppsm.dll"
sh=B9E7A461796E22B87226172152D83213002081AC ft=1 fh=74353f1bba4f89f2 vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\spusm.dll"
sh=414B92ED8436DF7E9A419EC87EC89E82F2138D0D ft=1 fh=2b0843e909b31f3c vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\srbhu.dll"
sh=0993C65D332068F7DC335AD6C7EBB8E89B515CF0 ft=1 fh=4c6549bbd2148752 vn="Variante von MSIL/Toolbar.Linkury.C evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\srbs.dll"
sh=7D37E07482CA5D2EDC014784A215917F63A294F5 ft=1 fh=a9866ae28e6f19a4 vn="Variante von MSIL/Toolbar.Linkury.F evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\srbu.dll"
sh=0D453EE1699DFB5425FF950030B98D2BB78F782C ft=1 fh=81d42cc0c17a6de4 vn="Variante von MSIL/Toolbar.Linkury.AL evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\srpt.dll"
sh=90948FD08FA61D38913DC0D988B830C55D0A45EC ft=1 fh=ed3bd3e2a46ff9be vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\srptc.dll"
sh=598A3004CE4E0906A87B8B0D257F1A2450731D7D ft=1 fh=77cd37b41c4f7601 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\srsl.dll"
sh=5C24ED652A4145635BCCE2DB27A6CBF6A48518C6 ft=1 fh=475423da9134a418 vn="Variante von MSIL/Toolbar.Linkury.M.gen evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\srut.dll"
sh=C04A1981E1149B4CBE557E6B65C6D055E9B7ADA6 ft=1 fh=7b34e2fab6860a42 vn="Variante von MSIL/Toolbar.Linkury.AL evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\lrrot.dll"
sh=8D9834969EFE5DF8BF2976D90B8AFC5D9445C859 ft=1 fh=8bfcb9f18948b1c3 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\MACTrackBarLib.dll"
sh=56D47EC232E05B3673457E0A17AE078CABA6D6A7 ft=1 fh=09ead2139ed7bf9c vn="Variante von MSIL/Toolbar.Linkury.AL evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Proxy.Lib.dll"
sh=81519E3C803165E070F52DB8719BFB335CEB3062 ft=1 fh=99030b2317573498 vn="Variante von MSIL/Toolbar.Linkury.X evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\ProxySettings.dll"
sh=2BAB16AD8F0E5A9C69A0D8CA6A2E43969FB4DAD4 ft=1 fh=5d50283718548428 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\siem.dll"
sh=0AA9A7E489E580285BF9AD402AC014BF402F9077 ft=1 fh=c38905d4e80bcb35 vn="Variante von MSIL/Toolbar.Linkury.AQ evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\sipb.dll"
sh=8C004FB58E45F5853011E69EDB82134CF8966F74 ft=1 fh=8a0b31cf1338c71f vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\sismlp.dll"
sh=36CB1A5D44626F1787AFAD6C9498F418E1E9B532 ft=1 fh=2ace01794e8a8b9a vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Common.dll"
sh=F921766E3F199DDF0F1A29767410D44F1E505347 ft=1 fh=c17c328ef6445ed2 vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Communication.dll"
sh=B9C19D20B0D96E3D9C8E72ED0791C6FB2B77AAAD ft=1 fh=ff125595eb936734 vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Communication.NamedPipe.dll"
sh=78DFF1176D3C451ECADAD933E47CB53C5FD41112 ft=1 fh=55b0d56374442972 vn="Variante von MSIL/Toolbar.Linkury.AM evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.GUI.Controls.dll"
sh=8F81CBC514857938F9298FAA77A72060D1CCDD1F ft=1 fh=a587aae94e107416 vn="Variante von MSIL/Toolbar.Linkury.AC evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.GUI.Docking.dll"
sh=725CDC037C027FCD32F110EEE1816C33731EDE20 ft=1 fh=56b71c00025bb224 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Infrastructure.BusinessEntities.dll"
sh=55A5A51FCCC8524D0912C882F30A25BC1843475F ft=1 fh=ee241c09135b086d vn="Variante von MSIL/Toolbar.Linkury.T evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Infrastructure.Utilities.dll"
sh=380E6BF22344DF15BDA721756BBA8600CBFFF400 ft=1 fh=50a6b13da43d2e33 vn="Variante von MSIL/Toolbar.Linkury.AL evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Monetization.Proxy.ProxyService.dll"
sh=B95AB99B30A0CF4043CD92A33D5FE09E603E1ADC ft=1 fh=5342d8df52c830a3 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Personalization.Common.dll"
sh=083E59D5CD3500CF0BBDFC59CC4B39645C5CA83A ft=1 fh=1b7719d2674458f9 vn="Variante von MSIL/Toolbar.Linkury.I evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Resources.HistoryAndStatsWrapper.dll"
sh=7A411A1466270DAAB35DF3BB4D230ECCF33B3E7A ft=1 fh=2b921e0f4de38891 vn="Variante von MSIL/Toolbar.Linkury.AN evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Resources.LanguageSettings.dll"
sh=D034F5C7973D8E8865E07C8C491290007D751253 ft=1 fh=d53322914a970544 vn="Variante von MSIL/Toolbar.Linkury.E evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Resources.LanguageSettings.resources.dll"
sh=881174B8B2BCFF1818530A083B4B47F38D2DFB2E ft=1 fh=7106a6c503cbf6b4 vn="Variante von MSIL/Toolbar.Linkury.AM evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Resources.SocialNetsSharer.dll"
sh=6B506C1A2B70DECFF290A1751D564A8C4CF763EF ft=1 fh=73a347fc14c4e2f3 vn="Variante von MSIL/Toolbar.Linkury.AQ evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Resources.SocialNetsSharer.XmlSerializers.dll"
sh=E103041EF18E8763402BB931A4469605E99882F8 ft=1 fh=6c2c5200165ca4b8 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Resources.Translations.dll"
sh=8B6287A98E7CC7403B070D2EF07C4E2BFCEF0403 ft=1 fh=c04b514b90e70a4d vn="Variante von MSIL/Toolbar.Linkury.I evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\spbe.dll"
sh=19C3579C68281C5BB49E443422606503DF46ED43 ft=1 fh=204776e3cf249c1f vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\spbl.dll"
sh=4D19E1FC12C9F2D1BB673CB02511E4EE86B87EBE ft=1 fh=ec73789bd2de0d47 vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\sppsm.dll"
sh=D4F3D72B7DDC0CF50A196011BF9CDE3D475264AB ft=1 fh=94dffed46abd195a vn="Variante von MSIL/Toolbar.Linkury.AM evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\spsm.dll"
sh=B9E7A461796E22B87226172152D83213002081AC ft=1 fh=74353f1bba4f89f2 vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\spusm.dll"
sh=414B92ED8436DF7E9A419EC87EC89E82F2138D0D ft=1 fh=2b0843e909b31f3c vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srbhu.dll"
sh=0993C65D332068F7DC335AD6C7EBB8E89B515CF0 ft=1 fh=4c6549bbd2148752 vn="Variante von MSIL/Toolbar.Linkury.C evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srbs.dll"
sh=7D37E07482CA5D2EDC014784A215917F63A294F5 ft=1 fh=a9866ae28e6f19a4 vn="Variante von MSIL/Toolbar.Linkury.F evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srbu.dll"
sh=DEB1FD295F45FC207A8B9114044968E50FD172CC ft=1 fh=850d1ac4f8b066ab vn="Variante von MSIL/Toolbar.Linkury.V evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\sreu.dll"
sh=EE29F7CCDFA3DE027BC2BC9973C10E90985E0E04 ft=1 fh=3a784f68cfc0d3e3 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srns.dll"
sh=11E13D0BA300555917B475D2EF99391FC835A2F7 ft=1 fh=bb59c0adef7eda9a vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srpdm.dll"
sh=B3191396211876AD9C9584B6BF9CA3460E935AB4 ft=1 fh=c9c86abef631474d vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srprl.dll"
sh=0D453EE1699DFB5425FF950030B98D2BB78F782C ft=1 fh=81d42cc0c17a6de4 vn="Variante von MSIL/Toolbar.Linkury.AL evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srpt.dll"
sh=90948FD08FA61D38913DC0D988B830C55D0A45EC ft=1 fh=ed3bd3e2a46ff9be vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srptc.dll"
sh=D7736EED844DC36F32DAC1A35F8482CC068A9063 ft=1 fh=966fb7ffe3f01c9b vn="Variante von MSIL/Toolbar.Linkury.I evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srpu.dll"
sh=F677AC93424B46123DE7FD9AA740A9DC1ECFCE00 ft=1 fh=a0161e71c3b85031 vn="Variante von MSIL/Toolbar.Linkury.AM evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srsbs.dll"
sh=598A3004CE4E0906A87B8B0D257F1A2450731D7D ft=1 fh=77cd37b41c4f7601 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srsl.dll"
sh=34F405329A02F6DB00EB6A10501B21B28876B638 ft=1 fh=3f33a43cf7adad81 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srus.dll"
sh=5C24ED652A4145635BCCE2DB27A6CBF6A48518C6 ft=1 fh=475423da9134a418 vn="Variante von MSIL/Toolbar.Linkury.M.gen evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srut.dll"

und SecurityCheck
Code:
Results of screen317's Security Check version 1.009 
 Windows 7 Service Pack 1 x64 (UAC is disabled!) 
 Internet Explorer 11 
``````````````Antivirus/Firewall Check:``````````````
 WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
 Java 8 Update 111 
 Java version 32-bit out of Date!
 Mozilla Firefox (49.0.2)
````````Process Check: objlist.exe by Laurent```````` 
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C: 
````````````````````End of Log``````````````````````
... noch eine Frage: Im gestrigen Verlauf war es ja so, dass erst Combofix die drei Firefox Dateien gelöscht hat:
c:\program files (x86)\FireFox\plugin-container.exe
c:\program files (x86)\FireFox\uninstall\helper.exe
c:\program files (x86)\FireFox\updater.exe

und dann hat der ADWcleaner anschließend noch den ganzen Firefox Ordner gelöscht:
[-] Ordner gelöscht: C:\Program Files (x86)\Firefox


Die drei genannten exe-Files hatte ich online auf Befall geprüft (auf virustotal.com), die waren ohne Befund. Kannst Du mir sagen, warum sich Combofix und ADW einig waren, dass mit dem Firefox was nicht stimmte?

Danke,
Wechselbalg

cosinus 02.11.2016 10:22
FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
C:\Users\eins\AppData\Roaming\DIDBW
C:\Users\eins\AppData\Roaming\FCG
C:\Windows\Installer\MSI739E.tmp
C:\Windows\Installer\MSIAE4F.tmp-
C:\Windows\Installer\MSIF992.tmp-
emptytemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.


wechselbalg 02.11.2016 13:11
Hier das Logfile:

Code:
Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 30-10-2016
durchgeführt von Admin auf eins (02-11-2016 13:01:37) Run:3
Gestartet von C:\Users\eins\Desktop
Geladene Profile: Admin auf eins (Verfügbare Profile: eins & Admin auf eins)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
C:\Users\eins\AppData\Roaming\DIDBW
C:\Users\eins\AppData\Roaming\FCG
C:\Windows\Installer\MSI739E.tmp
C:\Windows\Installer\MSIAE4F.tmp-
C:\Windows\Installer\MSIF992.tmp-
emptytemp:

*****************

C:\Users\eins\AppData\Roaming\DIDBW => erfolgreich verschoben
C:\Users\eins\AppData\Roaming\FCG => erfolgreich verschoben
"C:\Windows\Installer\MSI739E.tmp" => nicht gefunden.
C:\Windows\Installer\MSIAE4F.tmp- => erfolgreich verschoben
C:\Windows\Installer\MSIF992.tmp- => erfolgreich verschoben

=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 3798988 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 2905 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
eins => 0 B
Admin auf eins => 5416274 B

RecycleBin => 0 B
EmptyTemp: => 8.8 MB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 13:01:37 ====
Den Ordner "MSI739E.tmp" gab es schon, der hatte aber wie die beiden anderen noch ein Minusstrich hinten dran. Ich habe ihn jetzt manuell gelöscht.

cosinus 02.11.2016 13:23
Ok. Was ist jetzt noch an Problemen offen? Abgesehen von den verschlüsselten Files, die kann man nicht durch reinigen entschlüsseln

wechselbalg 02.11.2016 15:01
Danke für Deine Hilfe, Cosinus.

Die Frage, die ich mir stelle, ist: warum musste der Firefox dran glauben?
Im Verlauf war es ja so, dass erst Combofix die drei Firefox Dateien gelöscht hat:
c:\program files (x86)\FireFox\plugin-container.exe
c:\program files (x86)\FireFox\uninstall\helper.exe
c:\program files (x86)\FireFox\updater.exe

und dann hat der ADWcleaner anschließend noch den ganzen Firefox Ordner gelöscht:
[-] Ordner gelöscht: C:\Program Files (x86)\Firefox


Die drei genannten exe-Files hatte ich online auf Befall geprüft (auf virustotal.com), die waren ohne Befund. Kannst Du mir sagen, warum sich Combofix und ADW einig waren, dass mit dem Firefox was nicht stimmte?

cosinus 02.11.2016 15:07
Zitat:
c:\program files (x86)\FireFox
Das ist KEIN Standardpfad für den Browser von Mozilla! Der lautet nämlich

a) bei einem 32-Bit-Firefox auf einem 32-Bit-Windows: C:\Program Files\Mozilla Firefox

b) bei einem 32-Bit-Firefox auf einem 64-Bit-Windows: C:\Program Files (x86)\Mozilla Firefox

c) bei einem 64-Bit-Firefox auf einem 64-Bit-Windows: C:\Program Files\Mozilla Firefox

wechselbalg 02.11.2016 15:53
Ahja - das lag an mir. Da hatte ich in den hininstalliert.

Ok, danke nochmal für Deine schnelle Hilfe.

cosinus 02.11.2016 21:07
also das ist für mich die plausibelste Erklärung


Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend müssen wir noch ein paar Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:


Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.
  • Schließe alle offenen Programme.
  • Starte die delfix.exe mit einem Doppelklick.
  • Setze vor jede Funktion ein Häkchen.
  • Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen - sofern benötigt, wenn nicht benötigt natürlich sinnigerweise deinstallieren oder Alternativen verwenden (und diese aktuell halten).
  • Browser (Internet Explorer, Edge, Firefox, Chrome, ...)
  • Java (bitte wirklich nur installieren/installiert lassen wenn unbedingt nötig!)
  • Flash-Player (nach Möglichkeit deinstallieren und HTML5 verwenden siehe zB https://www.youtube.com/html5 )
  • PDF-Reader (nach Möglichkeit nicht den Adobe Reader verwenden)

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

   
 

Microsoft Security Essentials (MSE) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE entschieden hast, brauchst du nicht extra MSE zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und/oder mit dem ESET Online Scanner scannen.

Optional:

http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. NoScript kann gerade bei technisch nicht allzu versierten Nutzern beim Surfen zum Nervfaktor werden; ob das Tool geeignet ist, muss jeder selbst mal ausprobieren und dann für sich entscheiden. Alternativen zu NoScript (wenn um das das Verhindern von Usertracking und Werbung auf Webseiten) geht wären da Ghostery oder uBlock. Ghostery ist eine sehr bekannte Erweiterung, die aber auch in Kritik geraten ist, vgl. dazu bitte diesen Thread => Ghostery schleift Werbung durch

http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20