Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows 10 # Trojan.PyengyLoader (https://www.trojaner-board.de/217200-windows-10-trojan-pyengyloader.html)

flysurfer24 12.10.2025 15:21
Windows 10 # Trojan.PyengyLoader
 
Hallo ,

MalwareBytes hatte nach Ausführung dieses neu installierten Tools
Folgendes gefunden und in Quarantäne gebracht.


#######

Ergänzung:


Zitat:
Nach einem Tiefenscan mit MBAM in der Nacht hatte Windows Defender noch weitere
Bedrohungen gefunden.
Diese Bedrohungen wurden vom / über den Defender geblockt.


Ich hoffe, ein Admin gibt mir weitere Instruktionen zum Prüfen
oder abschließende Auswertung/ Tipps (?)

Leider habe ich das 1. Posting beim "Zitieren" gelöscht :-(
@admins: Lässt sich das wiederherstellen ?

gruesse

cosinus 12.10.2025 16:53
Wiederherstellen können wir nichts.
Und in deinem Posting fehlen sämtliche Angaben zu Funden sowie alle Logfiles. Und was sollen wir mit Aussagen wie

Zitat:
dieses neu installierten Tools
denn bitte konkret anfangen? :wtf:

flysurfer24 12.10.2025 19:26
Windows 10 # Trojan.PyengyLoader
 
Hallo,
ich fange erneut an. Mein 1. Posting war vom 11.10.25, gegen 21.48 Uhr.

Malwarebytes fand einen Trojaner und aus der Protokolldatei von MWB ist (wieder)
der Name des TOOLS s ersichtlich; weil eine gleichnamige DLL im Programmverzeichnis.

Code:
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 10.10.2025
Scan-Zeit: 19:43
Protokolldatei: 9c216a44-a600-11f0-83f9-f8cab81a7d1e.json

-Softwaredaten-
Version: 5.4.0.213
Komponentenversion: 141.1.5388
Version des Aktualisierungspakets: 1.0.103759
Lizenz: Kostenlos

-Systemdaten-
Betriebssystem: Windows 10 (Build 19045.6332)
CPU: x64
Dateisystem: NTFS
Benutzer: DELL-E7450\ruediger

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 238585
Erkannte Bedrohungen: 1
In die Quarantäne verschobene Bedrohungen: 1
Abgelaufene Zeit: 57 Min., 30 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 1
Trojan.PyengyLoader, C:\PROGRAM FILES (X86)\MINITOOLPOWERDATARECOVERY\QT5CORE.DLL, In Quarantäne, 7189, 1355199, 1.0.103759, , ame, , A7E479E3FB8C45B4B572A301588C0DE0, A71C5A226FBB4334353CC1D0F4ABACBA8A509F8544F286D352E1EC29C86C0742

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)

(end)
....
TOOL : MINITOOLPOWERDATARECOVERY

von der Seite Chip empfohlen

https://www.chip.de/downloads/Power-Data-Recovery-Free-Edition_72884206.html
Hersteller: minitool

MWB hatte das Objekt in die Quarantäne befördert


Danach folgte die Ausführung von FRST und danach hier das posten
der zwei LOGs ;war alles in einem Beitrag.

FRST.TXT


FRST Logfile:
Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 11-10-2025
durchgeführt von ruediger (Administrator) auf DELL-E7450 (Dell Inc. Latitude E7450) (11-10-2025 21:42:00)
Gestartet von E:\Austausch\FRST64.exe
Geladene Profile: ruediger
Plattform: Microsoft Windows 10 Pro Version 22H2 19045.6332 (X64) Sprache: Deutsch (Deutschland)
Standard-Browser: "C:\Program Files\LibreWolf\librewolf.exe" -osint -url "%1"
Start-Modus: Normal

========================================================

C:\FRST\FRST64.exe => Prozess erfolgreich geschlossen
C:\FRST\FRST64.exe => Prozess erfolgreich geschlossen
C:\FRST\FRST64.exe => erfolgreich verschoben

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(ALPS ALPINE CO., LTD. -> ALPSALPINE Co., Ltd.) C:\Program Files\DellTPad\ApntEx.exe
(C:\Program Files\DellTPad\Apoint.exe ->) (ALPS ALPINE CO., LTD. -> ALPSALPINE Co., Ltd.) C:\Program Files\DellTPad\ApMsgFwd.exe
(C:\Program Files\DellTPad\Apoint.exe ->) (ALPS ELECTRIC CO., LTD. -> ALPSALPINE CO., LTD.) C:\Program Files\DellTPad\hidfind.exe
(C:\Program Files\DellTPad\HidMonitorSvc.exe ->) (ALPS ALPINE CO., LTD. -> ALPSALPINE Co., Ltd.) C:\Program Files\DellTPad\Apoint.exe
(C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe ->) (Malwarebytes Inc -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\Malwarebytes.exe
(C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe ->) (Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe <3>
(Intel(R) pGFX -> ) C:\Windows\System32\igfxTray.exe
(Intel(R) pGFX -> Intel Corporation) C:\Windows\System32\igfxEM.exe
(Intel(R) pGFX -> Intel Corporation) C:\Windows\System32\igfxHK.exe
(Intel\DPTF\esif_uf.exe ->) (Intel Corporation -> Intel Corporation) C:\Windows\System32\Intel\DPTF\dptf_helper.exe
(Open Source Developer, Noriyuki Miyazaki -> Crystal Dew World) C:\APP\CrystalDiskInfoPortable\App\CrystalDiskInfo\DiskInfo.exe
(services.exe ->) (ALPS ALPINE CO., LTD. -> ALPSALPINE Co., Ltd.) C:\Program Files\DellTPad\HidMonitorSvc.exe
(services.exe ->) (Intel Corporation -> Intel Corporation) C:\Windows\System32\Intel\DPTF\esif_uf.exe
(services.exe ->) (Intel(R) Embedded Subsystems and IP Blocks Group -> Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
(services.exe ->) (Intel(R) Embedded Subsystems and IP Blocks Group -> Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
(services.exe ->) (Intel(R) pGFX -> Intel Corporation) C:\Windows\System32\igfxCUIService.exe
(services.exe ->) (Intel(R) Rapid Storage Technology -> Intel Corporation) C:\Windows\System32\DriverStore\FileRepository\iastorac.inf_amd64_ecb9604542bb4ba6\RstMwService.exe
(services.exe ->) (Intel(R) Wireless Connectivity Solutions -> Intel Corporation) C:\Windows\System32\ibtsiva.exe
(services.exe ->) (Malwarebytes Inc -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
(services.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Program Files\Microsoft Update Health Tools\uhssvc.exe
(services.exe ->) (Microsoft Windows Publisher -> Microsoft Corporation) C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.25080.5-0\MpDefenderCoreService.exe
(services.exe ->) (Microsoft Windows Publisher -> Microsoft Corporation) C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.25080.5-0\MsMpEng.exe
(services.exe ->) (Microsoft Windows Publisher -> Microsoft Corporation) C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.25080.5-0\NisSrv.exe
(services.exe ->) (Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe
(services.exe ->) (Samsung Electronics Co., Ltd. -> Clonix & CottonCandy) C:\Program Files (x86)\Samsung\Samsung Magician\MigrationService\MigrationService.exe
(services.exe ->) (Samsung Electronics Co., Ltd. -> Samsung Electronics Co., Ltd.) C:\Program Files (x86)\Samsung\Samsung Magician\SamsungMagicianSVC.exe
(services.exe ->) (SignPath Foundation -> 0store-service) C:\Program Files\Zero Install\0store-service.exe
(services.exe ->) (Waves Inc -> Waves Audio Ltd.) C:\Program Files\Waves\MaxxAudio\WavesSysSvc64.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\dllhost.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\MoUsoCoreWorker.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\prevhost.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\smartscreen.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [8861944 2016-07-29] (Realtek Semiconductor Corp -> Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg_MAXX6] => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1427704 2016-07-29] (Realtek Semiconductor Corp -> Realtek Semiconductor)
HKLM\...\Run: [Apoint] => C:\Program Files\DellTPad\Apoint.exe [779152 2019-12-12] (ALPS ALPINE CO., LTD. -> ALPSALPINE Co., Ltd.)
HKLM\...\Run: [AVGUI.exe] => "C:\Program Files\AVG\Antivirus\AvLaunch.exe" /gui (Keine Datei)
HKLM\...\Run: [Greenshot] => C:\Program Files\Greenshot\Greenshot.exe [527792 2017-08-09] (Open Source Developer, Robin Krom -> Greenshot)
HKLM\...\Run: [WavesSvc] => C:\Program Files\Waves\MaxxAudio\WavesSvc64.exe [718256 2015-12-22] (Waves Inc -> Waves Audio Ltd.)
HKLM-x32\...\Run: [IMSS] => C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PrivacyIconClient.exe [1203856 2017-06-26] (Intel(R) Embedded Subsystems and IP Blocks Group -> Intel Corporation)
HKU\S-1-5-21-329764873-3730399202-3692619208-1002\...\Run: [A4B5DAE55965069ECFBA00442F3D0DC08A4B871C._service_run] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=service /prefetch:8 [4265000 2025-10-09] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-329764873-3730399202-3692619208-1002\...\Run: [Opera Browser Assistant] => C:\Users\Test\AppData\Local\Programs\Opera\assistant\browser_assistant.exe [3126296 2020-08-18] (Opera Software AS -> Opera Software)
HKU\S-1-5-21-329764873-3730399202-3692619208-1003\...\MountPoints2: {1fabefa4-94ac-11ed-aadf-185e0f445425} - "I:\LaunchU3.exe" -a
HKLM\...\Print\Monitors\KM Language Monitor: C:\WINDOWS\system32\KMPJL64.DLL [159952 2023-07-07] (Microsoft Windows Hardware Compatibility Publisher -> KYOCERA Document Solutions Inc.)
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files\Google\Chrome\Application\141.0.7390.77\Installer\chrmstp.exe [2025-10-10] (Google LLC -> Google LLC)
Startup: C:\Users\ruediger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\startCDinfo.cmd [2021-11-20] () [Datei ist nicht signiert] <==== ACHTUNG
Startup: C:\Users\ruediger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start_DINFO.vbs [2021-11-20] () [Datei ist nicht signiert]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CPUID HWMonitor.lnk [2021-04-17]
ShortcutTarget: CPUID HWMonitor.lnk -> C:\Program Files\CPUID\HWMonitor\HWMonitor.exe (CPUID S.A.R.L.U. -> CPUID)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CrystalDiskInfo (64bit).lnk [2021-04-23]
ShortcutTarget: CrystalDiskInfo (64bit).lnk -> C:\Program Files\CrystalDiskInfo\DiskInfo64.exe (Noriyuki Miyazaki -> Crystal Dew World)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DeepL auto-start.lnk [2025-09-23]
ShortcutTarget: DeepL auto-start.lnk ->  (Keine Datei)
HKU\S-1-5-21-329764873-3730399202-3692619208-1003\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {760D041F-8C2F-40CC-8EA7-937411412F87} - System32\Tasks\AVG\Overseer => C:\Program Files\Common Files\AVG\Overseer\overseer.exe [3014368 2025-09-23] (Gen Digital Inc. -> Gen Digital Inc.)
Task: {80F8E02D-195A-44F5-A68C-9C2B85AE59DE} - System32\Tasks\CrystalDiskInfo => C:\APP\CrystalDiskInfoPortable\App\CrystalDiskInfo\DiskInfo.exe [2779760 2021-03-21] (Open Source Developer, Noriyuki Miyazaki -> Crystal Dew World)
Task: {6E64C269-E83E-4630-89EC-E3BE01CEB036} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem142.0.7416.0{247C736B-0372-4C15-9983-FF05172E7CF6} => C:\Program Files (x86)\Google\GoogleUpdater\142.0.7416.0\updater.exe [5990040 2025-09-15] (Google LLC -> Google LLC)
Task: {7D0C3F15-5FEF-4BDF-9537-FCBD7AA6A0D3} - System32\Tasks\Intel PTT EK Recertification => C:\Program Files\Intel\iCLS Client\IntelPTTEKRecertification.exe [668464 2017-02-24] (Intel(R) Trust Services -> Intel(R) Corporation)
Task: {3E9018CA-3672-4D20-B88A-701E0097DD17} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.25080.5-0\MpCmdRun.exe [1778248 2025-09-18] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {BE4DDEE1-20A2-4A40-B367-50384986642C} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cleanup => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.25080.5-0\MpCmdRun.exe [1778248 2025-09-18] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {374095E8-9D4D-402B-AD32-D6022AB5BED2} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.25080.5-0\MpCmdRun.exe [1778248 2025-09-18] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {055962D0-FC95-44B6-B193-B3894B3F26A3} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Verification => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.25080.5-0\MpCmdRun.exe [1778248 2025-09-18] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {E2EC1349-A3C4-461A-8440-D202C3DAE608} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [694912 2025-09-23] (Mozilla Corporation -> Mozilla Corporation) -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\--MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask background (Der Dateneintrag hat 6 weitere Zeichen).
Task: {CB753548-5C19-4DFE-88A2-4C7AC3F12AC3} - System32\Tasks\Mozilla\Firefox Background Update S-1-5-21-329764873-3730399202-3692619208-1003 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [694912 2025-09-23] (Mozilla Corporation -> Mozilla Corporation) -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\--MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask background (Der Dateneintrag hat 6 weitere Zeichen).
Task: {59F7D208-49CB-4492-99FE-1D22397AF830} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [34944 2025-09-23] (Mozilla Corporation -> Mozilla Foundation)
Task: {B5EE0156-F91A-4775-B929-0132F986F038} - System32\Tasks\Opera scheduled assistant Autoupdate 1591304128 => C:\Users\Test\AppData\Local\Programs\Opera\launcher.exe [1529880 2020-08-11] (Opera Software AS -> Opera Software) -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Test\AppData\Local\Programs\Opera\assistant" $(Arg0)
Task: {1C0C0390-8119-49E6-81F4-3982E2DA8526} - System32\Tasks\Opera scheduled Autoupdate 1591304123 => C:\Users\Test\AppData\Local\Programs\Opera\launcher.exe [1529880 2020-08-11] (Opera Software AS -> Opera Software)
Task: {1314BCB3-87D5-487F-8DB5-9B8A437142C9} - System32\Tasks\RtHDVBg_PushButton => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1427704 2016-07-29] (Realtek Semiconductor Corp -> Realtek Semiconductor)
Task: {0EABF7D2-682C-4D3E-8683-890E9D971752} - System32\Tasks\SamsungMagician => C:\Program Files (x86)\Samsung\Samsung Magician\SamsungMagician.exe [140405056 2024-08-23] (Samsung Electronics Co., Ltd. -> Samsung Electronics Co., Ltd.) -> C:\Program Files (x86)\Samsung\Samsung Magician\\--disable-gpu-sandbox /AUTOHIDE
Task: {3736D2B0-BF60-45EE-BB89-335D67D723C2} - System32\Tasks\TrackerAutoUpdate => C:\Program Files\Tracker Software\Update\TrackerUpdate.exe [4475136 2018-12-13] (Tracker Software Products (Canada) Ltd. -> Tracker Software Products (Canada) Ltd.)
Task: {5C625793-E03C-40C6-B9E6-E3B50F40CF7B} - System32\Tasks\Zero Install\Self update => C:\Program Files\Zero Install\0install-win.exe [424744 2025-09-08] (SignPath Foundation -> 0install-win)
Task: {45C68A4E-E794-4A45-8193-12FDE8B1D45A} - System32\Tasks\Zero Install\Update apps => C:\Program Files\Zero Install\0install-win.exe [424744 2025-09-08] (SignPath Foundation -> 0install-win)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
Task: C:\WINDOWS\Tasks\TrackerAutoUpdate.job => C:\Program Files\Tracker Software\Update\TrackerUpdate.exe-CheckUpdate(Tracker Software Products (Canada) Ltd.Kee

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{04d420c6-ef22-49d8-9c7c-4a87c4ff49fc}: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{4af5a330-0fab-44ec-a8de-cba8b08b89b2}: [DhcpNameServer] 192.168.100.1
Tcpip\..\Interfaces\{e393e33d-71e8-497f-b90b-b298a8368a0d}: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{e393e33d-71e8-497f-b90b-b298a8368a0d}: [DhcpDomain] fritz.box
Tcpip\..\Interfaces\{e393e33d-71e8-497f-b90b-b298a8368a0d}\3416D60757370235579647560274163747: [DhcpNameServer] 192.168.189.1
Tcpip\..\Interfaces\{e393e33d-71e8-497f-b90b-b298a8368a0d}\3416D607573737579647560274163747: [DhcpNameServer] 192.168.179.1
Tcpip\..\Interfaces\{e393e33d-71e8-497f-b90b-b298a8368a0d}\4374D2556494D2938334: [DhcpNameServer] 192.168.100.1
Tcpip\..\Interfaces\{e393e33d-71e8-497f-b90b-b298a8368a0d}\4556C656B6F6D6: [DhcpNameServer] 10.120.136.116
Tcpip\..\Interfaces\{e393e33d-71e8-497f-b90b-b298a8368a0d}\45E474E23505F445: [DhcpNameServer] 10.64.0.1 213.178.70.1 82.97.146.3
Tcpip\..\Interfaces\{e393e33d-71e8-497f-b90b-b298a8368a0d}\75C414E4D2535383035303: [DhcpNameServer] 192.168.2.1
Tcpip\..\Interfaces\{e393e33d-71e8-497f-b90b-b298a8368a0d}\75C414E4D2535383035303: [DhcpDomain] Speedport_W_724V_09011603_06_010

Edge:
=======
Edge DefaultProfile: Default
Edge Profile: C:\Users\ruediger\AppData\Local\Microsoft\Edge\User Data\Default [2025-10-10]
Edge Extension: (Google Docs Offline) - C:\Users\ruediger\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2025-10-10] [UpdateUrl:0] <==== ACHTUNG
Edge Extension: (Edge relevant text changes) - C:\Users\ruediger\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jmjflgjpcpepeafmmgdpfkogkghcpiha [2024-01-24]

FireFox:
========
FF DefaultProfile: j9kpuh69.default
FF DefaultProfile: uwj2ldo8.default
FF ProfilePath: C:\Users\ruediger\AppData\Roaming\Mozilla\Firefox\Profiles\7sze1w4s.default-esr [2025-10-10]
FF Notifications: Mozilla\Firefox\Profiles\7sze1w4s.default-esr -> hxxps://www.nzz.ch
FF Extension: (DeepL: KI-Übersetzer und -Schreibassistent) - C:\Users\ruediger\AppData\Roaming\Mozilla\Firefox\Profiles\7sze1w4s.default-esr\Extensions\firefox-extension@deepl.com.xpi [2025-10-08]
FF Extension: (Privacy Badger) - C:\Users\ruediger\AppData\Roaming\Mozilla\Firefox\Profiles\7sze1w4s.default-esr\Extensions\jid1-MnnxcxisBPnSXQ@jetpack.xpi [2025-09-10]
FF Extension: (Google Search Maps Button) - C:\Users\ruediger\AppData\Roaming\Mozilla\Firefox\Profiles\7sze1w4s.default-esr\Extensions\{884f845b-914f-4069-ad5b-b8bf870249fc}.xpi [2025-07-03]
FF Extension: (Adblock Plus - kostenloser Adblocker) - C:\Users\ruediger\AppData\Roaming\Mozilla\Firefox\Profiles\7sze1w4s.default-esr\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2025-10-10]
FF Extension: (Evernote Web Clipper) - C:\Users\ruediger\AppData\Roaming\Mozilla\Firefox\Profiles\7sze1w4s.default-esr\Extensions\{E0B8C461-F8FB-49b4-8373-FE32E9252800}.xpi [2025-08-14]
FF ProfilePath: C:\Users\ruediger\AppData\Roaming\Mozilla\Firefox\Profiles\j9kpuh69.default [2024-12-29]
FF ProfilePath: C:\Users\ruediger\AppData\Roaming\Mozilla\Firefox\Profiles\h5qsvdj4.default-release-1 [2024-05-31]
FF ProfilePath: C:\Users\ruediger\AppData\Roaming\librewolf\Profiles\4oxq902e.default-default-1 [2024-12-29]
FF Extension: (uBlock Origin) - C:\Users\ruediger\AppData\Roaming\librewolf\Profiles\4oxq902e.default-default-1\Extensions\uBlock0@raymondhill.net.xpi [2024-12-29]
FF ProfilePath: C:\Users\ruediger\AppData\Roaming\librewolf\Profiles\uwj2ldo8.default [2024-12-29]
FF Extension: (uBlock Origin) - C:\Users\ruediger\AppData\Roaming\librewolf\Profiles\uwj2ldo8.default\Extensions\uBlock0@raymondhill.net.xpi [2024-12-29]
FF ProfilePath: C:\Users\ruediger\AppData\Roaming\librewolf\Profiles\ci2sl7we.default-default [2025-10-11]
FF Notifications: librewolf\Profiles\ci2sl7we.default-default -> hxxps://www.bushcraft-deutschland.de
FF Extension: (Mapio) - C:\Users\ruediger\AppData\Roaming\librewolf\Profiles\ci2sl7we.default-default\Extensions\extension@estate2023.com.xpi [2025-08-14]
FF Extension: (DeepL: KI-Übersetzer und -Schreibassistent) - C:\Users\ruediger\AppData\Roaming\librewolf\Profiles\ci2sl7we.default-default\Extensions\firefox-extension@deepl.com.xpi [2025-10-08]
FF Extension: (uBlock Origin) - C:\Users\ruediger\AppData\Roaming\librewolf\Profiles\ci2sl7we.default-default\Extensions\uBlock0@raymondhill.net.xpi [2025-09-19]
FF Extension: (LibreWolf Update Alerter) - C:\Users\ruediger\AppData\Roaming\librewolf\Profiles\ci2sl7we.default-default\Extensions\{4df78078-a667-405f-b7db-606e65bbd080}.xpi [2024-03-21]
FF Extension: (Evernote Web Clipper) - C:\Users\ruediger\AppData\Roaming\librewolf\Profiles\ci2sl7we.default-default\Extensions\{E0B8C461-F8FB-49b4-8373-FE32E9252800}.xpi [2025-08-14]
FF Plugin: @docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll [2018-12-13] (Tracker Software Products (Canada) Ltd. -> Tracker Software Products (Canada) Ltd.)
FF Plugin: @videolan.org/vlc,version=3.0.16 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2023-10-30] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.18 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2023-10-30] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.20 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2023-10-30] (VideoLAN -> VideoLAN)
FF Plugin-x32: @docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Viewer\Win32\npPDFXCviewNPPlugin.dll [2018-12-13] (Tracker Software Products (Canada) Ltd. -> Tracker Software Products (Canada) Ltd.)
FF Plugin HKU\S-1-5-21-329764873-3730399202-3692619208-1003: @docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Viewer\Win32\npPDFXCviewNPPlugin.dll [2018-12-13] (Tracker Software Products (Canada) Ltd. -> Tracker Software Products (Canada) Ltd.)

Chrome:
=======
CHR DefaultProfile: Default
CHR Profile: C:\Users\ruediger\AppData\Local\Google\Chrome\User Data\Default [2025-10-11]
CHR StartupUrls: Default -> "hxxps://www.google.com/"
CHR Extension: (Google Docs Offline) - C:\Users\ruediger\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2025-09-16]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\ruediger\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2021-04-16]
CHR Extension: (Evernote Web Clipper) - C:\Users\ruediger\AppData\Local\Google\Chrome\User Data\Default\Extensions\pioclpoplcdbaefihamjohnefbikjilc [2025-08-13]
CHR Extension: (Privacy Badger) - C:\Users\ruediger\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkehgijcmpdhfbdbbnkijodmdjhbjlgp [2025-09-08]
CHR Profile: C:\Users\ruediger\AppData\Local\Google\Chrome\User Data\Profile 1 [2025-02-20]
CHR Notifications: Profile 1 -> hxxps://www.youtube.com
CHR Extension: (Avira Password Manager) - C:\Users\ruediger\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\caljgklbbfbcjjanaijlacgncafpegll [2024-11-03]
CHR Extension: (Avira Safe Shopping) - C:\Users\ruediger\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ccbpbkebodcjkknkfkpmfeciinhidaeh [2025-02-20]
CHR Extension: (Google Docs Offline) - C:\Users\ruediger\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2024-11-03]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\ruediger\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2024-11-03]
CHR Profile: C:\Users\ruediger\AppData\Local\Google\Chrome\User Data\System Profile [2024-11-05]
CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll]
CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh]

==================== Dienste (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 0store-service; C:\Program Files\Zero Install\0store-service.exe [94000 2025-09-08] (SignPath Foundation -> 0store-service)
R2 ApHidMonitorService; C:\Program Files\DellTPad\HidMonitorSvc.exe [114960 2019-12-12] (ALPS ALPINE CO., LTD. -> ALPSALPINE Co., Ltd.)
R2 CMigrationService; C:\Program Files (x86)\Samsung\Samsung Magician\MigrationService\MigrationService.exe [763200 2024-08-23] (Samsung Electronics Co., Ltd. -> Clonix & CottonCandy)
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe [9608720 2025-09-08] (Malwarebytes Inc -> Malwarebytes)
S3 MBVpnTunnelService; C:\Program Files\Malwarebytes\Anti-Malware\MBVpnTunnelService.exe [2788304 2024-12-29] (Malwarebytes Inc. -> Malwarebytes)
R2 MDCoreSvc; C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.25080.5-0\MpDefenderCoreService.exe [2009656 2025-09-18] (Microsoft Windows Publisher -> Microsoft Corporation)
R2 SamsungMagicianSVC; C:\Program Files (x86)\Samsung\Samsung Magician\SamsungMagicianSVC.exe [460096 2024-08-23] (Samsung Electronics Co., Ltd. -> Samsung Electronics Co., Ltd.)
S3 Sense; C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe [918456 2025-08-13] (Microsoft Windows Publisher -> Microsoft Corporation)
R3 WdNisSvc; C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.25080.5-0\NisSrv.exe [4414464 2025-09-18] (Microsoft Windows Publisher -> Microsoft Corporation)
R2 WinDefend; C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.25080.5-0\MsMpEng.exe [282480 2025-09-18] (Microsoft Windows Publisher -> Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 BTHMODEM; C:\WINDOWS\System32\drivers\bthmodem.sys [76800 2019-12-07] (Microsoft Corporation) [Datei ist nicht signiert]
S3 cpuz150; C:\WINDOWS\temp\cpuz150\cpuz150_x64.sys [44832 2025-10-11] (CPUID S.A.R.L.U. -> CPUID) <==== ACHTUNG
R3 DellRbtn; C:\WINDOWS\System32\drivers\DellRbtn.sys [29160 2018-07-27] (Dell Inc -> OSR Open Systems Resources, Inc.)
R3 KslD; C:\WINDOWS\System32\drivers\wd\KslD.sys [333216 2025-09-18] (Microsoft Windows -> Microsoft Corporation)
R2 mbamchameleon; C:\WINDOWS\System32\Drivers\MbamChameleon.sys [234072 2025-07-17] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
S0 MbamElam; C:\WINDOWS\System32\DRIVERS\MbamElam.sys [22120 2025-03-06] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes)
R3 MBAMSwissArmy; C:\WINDOWS\System32\Drivers\mbamswissarmy.sys [244800 2025-10-03] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
U5 PROCMON23; C:\Windows\System32\Drivers\PROCMON23.sys [84792 2023-03-23] (Sysinternals -> Sysinternals - www.sysinternals.com)
R0 stdcfltn; C:\WINDOWS\System32\DRIVERS\stdcfltn.sys [23216 2015-01-09] (STMicroelectronics -> ST Microelectronics)
S0 WdBoot; C:\WINDOWS\System32\drivers\wd\WdBoot.sys [20880 2025-09-18] (Microsoft Windows Early Launch Anti-malware Publisher -> Microsoft Corporation)
R0 WdFilter; C:\WINDOWS\System32\drivers\wd\WdFilter.sys [627104 2025-09-18] (Microsoft Windows -> Microsoft Corporation)
R3 WdNisDrv; C:\WINDOWS\System32\drivers\wd\WdNisDrv.sys [102816 2025-09-18] (Microsoft Windows -> Microsoft Corporation)
R3 WirelessKeyboardFilter; C:\WINDOWS\System32\drivers\WirelessKeyboardFilter.sys [49336 2018-03-11] (Microsoft Corporation -> Microsoft Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat (erstellte) (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2025-10-11 15:38 - 2025-10-11 15:38 - 000509260 _____ C:\Users\ruediger\AppData\LocalLow\wbkE64.tmp
2025-10-11 00:33 - 2025-10-11 21:42 - 000000000 ____D C:\FRST
2025-10-11 00:17 - 2025-10-11 00:17 - 000000000 _____ C:\Users\ruediger\Desktop\FRST64.exe
2025-10-10 23:22 - 2025-10-10 23:22 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LibreWolf
2025-10-10 22:53 - 2025-10-10 22:55 - 166019917 _____ C:\Users\ruediger\Downloads\librewolf-143.0.4-1-windows-x86_64-setup.exe
2025-10-10 22:19 - 2025-10-10 22:19 - 000002239 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
2025-10-10 22:19 - 2025-10-10 22:19 - 000002198 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2025-10-10 22:18 - 2025-10-10 22:18 - 000000000 ____D C:\Program Files\Google
2025-10-10 22:16 - 2025-10-10 22:16 - 010869176 _____ (Google LLC) C:\Users\ruediger\Downloads\ChromeSetup.exe
2025-10-10 22:16 - 2025-10-10 22:16 - 000000000 ____D C:\WINDOWS\system32\Tasks\GoogleSystem
2025-10-09 20:50 - 2025-10-09 20:50 - 000000000 ____D C:\Users\ruediger\AppData\Local\ToolLib
2025-10-09 20:50 - 2025-10-09 20:50 - 000000000 ____D C:\ProgramData\ToolLib
2025-10-09 20:45 - 2025-10-10 22:01 - 000000000 ____D C:\Users\ruediger\AppData\Local\MinitoolLimited
2025-10-09 20:45 - 2025-10-10 22:01 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiniTool Power Data Recovery
2025-10-09 20:44 - 2025-10-10 22:01 - 000000000 ____D C:\Program Files (x86)\MiniToolPowerDataRecovery
2025-10-09 11:45 - 2025-06-17 09:43 - 000000000 ____D C:\1-SIC-Manuell
2025-10-03 12:56 - 2025-10-03 12:56 - 000095651 _____ C:\Users\ruediger\Downloads\xxxx---_ Zinssatz für Giro unverändert_vom_2025.10.01_20251003125626.pdf
2025-10-02 20:51 - 2025-10-03 17:42 - 000000000 ____D C:\Program Files\Mozilla Thunderbird
2025-09-29 19:59 - 2025-09-28 20:50 - 000020025 _____ C:\Users\ruediger\Documents\ABC-bis%20xx-25.xls_0.ods
2025-09-24 19:44 - 2025-09-24 19:44 - 000120919 _____ C:\Users\ruediger\Downloads\ABC-xx-1.pdf
2025-09-24 19:44 - 2025-09-24 19:44 - 000098767 _____ C:\Users\ruediger\Downloads\Mitgliedschaftsantrag-1.pdf
2025-09-23 21:23 - 2025-09-24 17:36 - 000000000 ____D C:\Program Files\Mozilla Firefox
2025-09-23 15:34 - 2025-09-23 15:34 - 000000000 ____D C:\Users\ruediger\AppData\Local\DeepL_SE
2025-09-23 15:32 - 2025-09-24 19:18 - 000000000 ____D C:\Program Files\Zero Install
2025-09-23 15:32 - 2025-09-23 15:32 - 000002285 _____ C:\Users\Public\Desktop\DeepL.lnk
2025-09-23 15:32 - 2025-09-23 15:32 - 000002285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DeepL.lnk
2025-09-23 15:32 - 2025-09-23 15:32 - 000000000 ____D C:\WINDOWS\system32\Tasks\Zero Install
2025-09-22 20:55 - 2025-09-23 14:58 - 000000304 _____ C:\Users\ruediger\Documents\Chrome update.txt
2025-09-22 11:00 - 2025-09-22 11:00 - 000095797 _____ C:\Users\ruediger\Downloads\671053_2025_Limit im Online-Banking geändert_vom_2025.09.15_20250922110015.pdf
2025-09-21 21:28 - 2025-09-21 21:28 - 000078780 _____ C:\Users\ruediger\AppData\LocalLow\wbk9F4.tmp
2025-09-21 11:05 - 2025-09-21 11:07 - 165926660 _____ C:\Users\ruediger\Downloads\librewolf-143.0-1-windows-x86_64-setup-from-Libre-.exe
2025-09-20 21:33 - 2025-10-11 21:22 - 000000000 ____D C:\Users\ruediger\Desktop\!-Malware
2025-09-19 19:58 - 2025-09-19 19:58 - 000067177 _____ C:\Users\ruediger\Downloads\Sonderbedingungen.pdf


==================== Ein Monat (geänderte) ==================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2025-10-11 21:41 - 2019-12-07 11:14 - 000000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2025-10-11 21:39 - 2021-04-16 16:32 - 000000000 __SHD C:\Users\ruediger\IntelGraphicsProfiles
2025-10-11 21:39 - 2020-02-17 15:19 - 000000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2025-10-11 21:38 - 2022-02-22 17:00 - 000000000 ____D C:\WINDOWS\SystemTemp
2025-10-11 21:38 - 2020-07-08 10:24 - 000000006 ____H C:\WINDOWS\Tasks\SA.DAT
2025-10-11 21:38 - 2020-07-08 10:18 - 000008192 ___SH C:\DumpStack.log.tmp
2025-10-11 21:38 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\ServiceState
2025-10-11 21:38 - 2019-12-07 11:03 - 001048576 _____ C:\WINDOWS\system32\config\BBI
2025-10-11 21:28 - 2024-12-29 22:04 - 000000000 ____D C:\Users\ruediger\AppData\Local\Malwarebytes
2025-10-11 20:36 - 2020-07-08 10:27 - 001622278 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2025-10-11 20:36 - 2019-12-07 16:51 - 000704656 _____ C:\WINDOWS\system32\perfh007.dat
2025-10-11 20:36 - 2019-12-07 16:51 - 000142108 _____ C:\WINDOWS\system32\perfc007.dat
2025-10-11 20:36 - 2019-12-07 11:13 - 000000000 ____D C:\WINDOWS\INF
2025-10-11 20:32 - 2020-07-07 23:06 - 000002436 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk
2025-10-11 20:32 - 2020-07-07 23:06 - 000002274 _____ C:\Users\Public\Desktop\Microsoft Edge.lnk
2025-10-11 20:29 - 2023-11-25 14:51 - 000000000 ____D C:\Users\ruediger\AppData\Roaming\DeepL_SE
2025-10-11 15:59 - 2021-04-16 16:32 - 000000000 ____D C:\Users\ruediger
2025-10-11 15:58 - 2022-02-09 22:47 - 000000000 ____D C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38
2025-10-11 15:28 - 2020-07-08 10:18 - 000000000 ____D C:\WINDOWS\system32\SleepStudy
2025-10-11 11:59 - 2025-06-17 09:36 - 000000000 ____D C:\DAT-ESP
2025-10-11 11:30 - 2022-04-09 01:08 - 000002406 _____ C:\Users\ruediger\Desktop\Signal.lnk
2025-10-11 00:52 - 2024-05-30 12:51 - 000000000 ____D C:\Users\ruediger\Downloads\FRST-OlderVersion
2025-10-11 00:23 - 2024-05-28 13:41 - 000000000 ____D C:\FRST-alt
2025-10-10 22:22 - 2021-04-16 16:32 - 000000000 ____D C:\Users\ruediger\AppData\Local\Packages
2025-10-10 22:16 - 2020-03-14 10:36 - 000000000 ____D C:\Program Files (x86)\Google
2025-10-10 22:01 - 2023-11-19 17:46 - 000000000 ____D C:\Users\ruediger\Downloads\AIMP-Tool
2025-10-10 22:01 - 2023-07-18 13:56 - 000000000 ____D C:\Program Files\LibreWolf
2025-10-10 22:01 - 2023-05-04 07:14 - 000000000 ____D C:\Users\ruediger\AppData\Roaming\Telegram Desktop
2025-10-10 22:01 - 2023-04-30 10:29 - 000000000 ____D C:\Users\ruediger\AppData\Roaming\Greenshot
2025-10-10 22:01 - 2023-03-09 18:07 - 000000000 ____D C:\Users\ruediger\AppData\Roaming\AstroGrep
2025-10-10 22:01 - 2023-02-23 12:16 - 000000000 ____D C:\Users\ruediger\AppData\Roaming\GHISLER
2025-10-10 22:01 - 2020-07-08 10:08 - 000000000 ____D C:\Users\Test
2025-10-10 22:01 - 2020-07-08 10:08 - 000000000 ____D C:\Users\Dell
2025-10-10 22:01 - 2019-03-19 06:52 - 000000000 ___HD C:\WINDOWS\system32\GroupPolicy
2025-10-10 21:44 - 2019-12-07 11:14 - 000000000 ___HD C:\Program Files\WindowsApps
2025-10-10 21:42 - 2022-04-09 01:08 - 000000000 ____D C:\Users\ruediger\AppData\Roaming\Signal
2025-10-10 21:42 - 2021-04-16 16:32 - 000000000 ____D C:\Users\ruediger\AppData\Roaming\Microsoft\Windows
2025-10-10 21:42 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\registration
2025-10-09 22:01 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\AppReadiness
2025-10-07 19:33 - 2021-05-04 18:16 - 000000000 ____D C:\Users\ruediger\AppData\Local\CrashDumps
2025-10-07 15:50 - 2019-12-07 11:14 - 000000000 ___HD C:\Program Files\WindowsApps.tmp
2025-10-06 19:01 - 2024-01-26 16:50 - 000000000 ____D C:\1+ BOOK
2025-10-05 18:45 - 2020-07-08 10:24 - 000003756 _____ C:\WINDOWS\system32\Tasks\MicrosoftEdgeUpdateTaskMachineUA
2025-10-05 18:45 - 2020-07-08 10:24 - 000003630 _____ C:\WINDOWS\system32\Tasks\MicrosoftEdgeUpdateTaskMachineCore
2025-10-03 23:58 - 2024-12-29 22:04 - 000244800 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbamswissarmy.sys
2025-10-03 17:42 - 2020-03-14 09:31 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2025-10-03 08:42 - 2021-04-22 21:19 - 000001055 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Thunderbird.lnk
2025-09-28 09:28 - 2021-07-05 23:58 - 000000000 ____D C:\Users\ruediger\AppData\Roaming\vlc
2025-09-27 19:01 - 2021-06-22 12:18 - 000000000 ____D C:\Users\ruediger\AppData\Roaming\XnView
2025-09-24 09:01 - 2023-02-05 16:15 - 000000968 _____ C:\Users\ruediger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Firefox.lnk
2025-09-24 09:01 - 2022-09-22 23:18 - 000000000 ____D C:\WINDOWS\system32\Tasks\Mozilla
2025-09-24 09:01 - 2022-06-06 22:12 - 000001065 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk
2025-09-23 19:26 - 2019-12-07 11:14 - 000000000 ____D C:\WINDOWS\LiveKernelReports
2025-09-23 15:32 - 2025-07-21 09:41 - 000000000 ____D C:\ProgramData\0install.net
2025-09-23 15:32 - 2023-11-25 14:46 - 000000000 ____D C:\Users\ruediger\AppData\Local\0install.net
2025-09-22 18:33 - 2022-01-28 01:00 - 000000000 ____D C:\Users\ruediger\AppData\Roaming\Zoom
2025-09-22 18:18 - 2021-10-16 12:11 - 000000000 ____D C:\Users\ruediger\AppData\Local\ElevatedDiagnostics
2025-09-21 23:07 - 2021-04-17 10:11 - 000000000 ____D C:\DAT-Transf
2025-09-20 20:20 - 2023-04-30 10:29 - 000000000 ____D C:\Users\ruediger\AppData\Local\Greenshot
2025-09-18 09:28 - 2022-06-06 22:12 - 000001053 _____ C:\Users\Public\Desktop\Firefox.lnk
2025-09-18 08:38 - 2020-02-17 15:05 - 000000000 ____D C:\WINDOWS\system32\Drivers\wd
2025-09-16 20:43 - 2020-07-27 23:30 - 000000000 ____D C:\DATA R
2025-09-16 08:15 - 2023-11-25 14:51 - 000000000 ____D C:\Users\ruediger\AppData\Local\Sentry
2025-09-15 11:03 - 2023-01-15 12:53 - 000000058 _____ C:\Users\ruediger\AppData\Local\DonationCoder_ScreenshotCaptor_InstallInfo.dat

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse ========

2023-01-15 12:53 - 2025-09-15 11:03 - 000000058 _____ () C:\Users\ruediger\AppData\Local\DonationCoder_ScreenshotCaptor_InstallInfo.dat
2024-11-08 15:52 - 2024-11-08 15:52 - 000000000 _____ () C:\Users\ruediger\AppData\Local\meld.log
2024-11-14 22:22 - 2024-11-14 22:22 - 000002125 _____ () C:\Users\ruediger\AppData\Local\recently-used.xbel

==================== SigCheck ============================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

==================== Ende von FRST.txt ========================
--- --- ---



Addition.txt :

FRST Additions Logfile:
Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 11-10-2025
durchgeführt von ruediger (11-10-2025 21:46:03)
Gestartet von E:\Austausch
Microsoft Windows 10 Pro Version 22H2 19045.6332 (X64) (2020-07-08 08:24:45)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

Administrator (S-1-5-21-329764873-3730399202-3692619208-500 - Administrator - Disabled)
DefaultAccount (S-1-5-21-329764873-3730399202-3692619208-503 - Limited - Disabled)
Dell (S-1-5-21-329764873-3730399202-3692619208-1001 - Administrator - Enabled) => C:\Users\Dell
Gast (S-1-5-21-329764873-3730399202-3692619208-501 - Limited - Disabled)
ruediger (S-1-5-21-329764873-3730399202-3692619208-1003 - Administrator - Enabled) => C:\Users\ruediger
Test (S-1-5-21-329764873-3730399202-3692619208-1002 - Administrator - Enabled) => C:\Users\Test
WDAGUtilityAccount (S-1-5-21-329764873-3730399202-3692619208-504 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

AstroGrep (HKLM-x32\...\AstroGrep) (Version: 4.4.8 - AstroComma, Inc.)
Bass Audio Decoder (remove only) (HKLM-x32\...\Bass Audio Decoder) (Version:  - )
CPUID HWMonitor 1.44 (HKLM\...\CPUID HWMonitor_is1) (Version: 1.44 - CPUID, Inc.)
CrystalDiskInfo 8.5.2 (HKLM\...\CrystalDiskInfo_is1) (Version: 8.5.2 - Crystal Dew World)
DCoder Image Source (remove only) (HKLM-x32\...\DCoder Image Source) (Version:  - )
DeepL (HKLM\...\https%3a##appdownload.deepl.com#windows#0install#deepl.xml) (Version:  - DeepL SE)
Dell Touchpad (HKLM\...\{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}) (Version: 10.3201.101.215 - ALPSALPINE CO., LTD.)
DirectVobSub (remove only) (HKLM-x32\...\DirectVobSub) (Version:  - )
DoNotSpy11 (HKLM-x32\...\{165C1716-9CD9-4B4D-BBF7-C34ED2BD200E}_is1) (Version: 1.0.0.0 - pXc-coding.com)
Google Chrome (HKLM-x32\...\Google Chrome) (Version: 141.0.7390.77 - Google LLC)
Greenshot 1.2.10.6 (HKLM\...\Greenshot_is1) (Version: 1.2.10.6 - Greenshot)
Intel(R) Chipset Device Software (HKLM\...\{00C43022-CFDA-4942-9D3F-04199C91C939}) (Version: 10.1.18121.8164 - Intel Corporation) Hidden
Intel(R) Dynamic Platform and Thermal Framework (HKLM-x32\...\{654EE65D-FAA4-4EA6-8C07-DC94E6A304D4}) (Version: 8.3.10209.6897 - Intel Corporation)
Intel(R) Management Engine Components (HKLM\...\{1CEAC85D-2590-4760-800F-8DE5E91F3700}) (Version: 11.7.0.1035 - Intel Corporation)
Intel(R) Management Engine Components (HKLM\...\{212B25D1-7216-4140-B248-D24BA0F80029}) (Version: 1.0.0.0 - Intel Corporation) Hidden
Intel(R) Management Engine Components (HKLM\...\{81274252-3CCE-4ABF-91F0-811144288963}) (Version: 1.0.0.0 - Intel Corporation) Hidden
Intel(R) Management Engine Components (HKLM\...\{927853D5-9CCC-4ED8-9C64-113EB34E8728}) (Version: 1.0.0.0 - Intel Corporation) Hidden
Intel(R) ME UninstallLegacy (HKLM\...\{E9B9A1A5-6398-4C99-8FDE-10794F6505C5}) (Version: 1.0.1.0 - Intel Corporation) Hidden
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 20.19.15.4835 - Intel Corporation)
Intel(R) Trusted Connect Service Client (HKLM\...\{F6AA7E43-41A4-4304-BA96-A495C5788231}) (Version: 1.45.447.1 - Intel Corporation) Hidden
Intel® Chipsatz-Gerätesoftware (HKLM-x32\...\{37942a92-9e3f-4d70-9b5c-5955cbc54505}) (Version: 10.1.18121.8164 - Intel(R) Corporation)
Kyocera Product Library (HKLM\...\Kyocera Product Library) (Version: 6.0.4912 - KYOCERA Document Solutions Inc.)
LAV Filters 0.77 (HKLM-x32\...\lavfilters_is1) (Version: 0.77 - Hendrik Leppkes)
LibreWolf (HKLM-x32\...\LibreWolf LibreWolf) (Version: 143.0.4-1 - LibreWolf)
MadVR (remove only) (HKLM-x32\...\MadVR) (Version:  - )
Malwarebytes version 5.4.0.213 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 5.4.0.213 - Malwarebytes)
Maxx Audio Installer (x64) (HKLM\...\{307032B2-6AF2-46D7-B933-62438DEB2B9A}) (Version: 2.6.8006.3 - Waves Audio Ltd.) Hidden
Meld (HKLM\...\{5E3C8A4B-6F37-40F0-892A-DC4D20D565FF}) (Version: 3.22.2 - Kai Willadsen)
Microsoft .NET 6.0 Templates 6.0.420 (x86) (HKLM-x32\...\{A5DDDF61-4867-4F51-A034-88C18D1F6D56}) (Version: 24.7.53351 - Microsoft Corporation) Hidden
Microsoft .NET AppHost Pack - 6.0.28 (x86) (HKLM-x32\...\{6A0D441F-A31C-46CA-894F-B57468774A50}) (Version: 48.112.10439 - Microsoft Corporation) Hidden
Microsoft .NET AppHost Pack - 6.0.28 (x86_arm) (HKLM-x32\...\{6E49F0EE-4AF5-4EF7-B488-F4ACC6D9BA39}) (Version: 48.112.10439 - Microsoft Corporation) Hidden
Microsoft .NET AppHost Pack - 6.0.28 (x86_arm64) (HKLM-x32\...\{567AAB54-3305-415A-84F0-AB58E0F73254}) (Version: 48.112.10439 - Microsoft Corporation) Hidden
Microsoft .NET AppHost Pack - 6.0.28 (x86_x64) (HKLM-x32\...\{EED02084-839E-4379-A76A-C83BCAAAA548}) (Version: 48.112.10439 - Microsoft Corporation) Hidden
Microsoft .NET Host - 6.0.28 (x86) (HKLM-x32\...\{B8AD6FF3-F1AE-4B6C-8221-27115C288906}) (Version: 48.112.10439 - Microsoft Corporation) Hidden
Microsoft .NET Host - 6.0.36 (x64) (HKLM\...\{D6932D97-36F1-40B8-9CDC-CA8365B21000}) (Version: 48.144.23141 - Microsoft Corporation) Hidden
Microsoft .NET Host - 8.0.11 (x64) (HKLM\...\{362B4D0D-8438-44DA-86B2-FEC44E000FCA}) (Version: 64.44.23191 - Microsoft Corporation) Hidden
Microsoft .NET Host FX Resolver - 6.0.28 (x86) (HKLM-x32\...\{445A9CB5-FB36-4D43-B5E6-EDA1D91D1BF5}) (Version: 48.112.10439 - Microsoft Corporation) Hidden
Microsoft .NET Host FX Resolver - 6.0.36 (x64) (HKLM\...\{A9E32B25-994B-4856-A12B-0EBED3050410}) (Version: 48.144.23141 - Microsoft Corporation) Hidden
Microsoft .NET Host FX Resolver - 8.0.11 (x64) (HKLM\...\{F59C11F0-D73F-452B-8D1D-8C33B82D8507}) (Version: 64.44.23191 - Microsoft Corporation) Hidden
Microsoft .NET Runtime - 6.0.28 (x86) (HKLM-x32\...\{EC87845D-BC44-440E-800D-DCCC48655E89}) (Version: 48.112.10439 - Microsoft Corporation) Hidden
Microsoft .NET Runtime - 6.0.36 (x64) (HKLM\...\{C912E33F-956A-4921-9F55-CC11AE8F09AF}) (Version: 48.144.23141 - Microsoft Corporation) Hidden
Microsoft .NET Runtime - 8.0.11 (x64) (HKLM\...\{9C80213E-9079-4561-8D57-1FDD0D62251F}) (Version: 64.44.23191 - Microsoft Corporation) Hidden
Microsoft .NET SDK 6.0.420 (x86) (HKLM-x32\...\{0c4e37fc-b042-44b5-afd1-0664b1f688a0}) (Version: 6.4.2024.12103 - Microsoft Corporation)
Microsoft .NET Standard Targeting Pack - 2.1.0 (x86) (HKLM-x32\...\{74C05E31-3587-425C-9342-233964C42675}) (Version: 24.0.28113 - Microsoft Corporation) Hidden
Microsoft .NET Targeting Pack - 6.0.28 (x86) (HKLM-x32\...\{3FCC1A40-C885-4712-9F9D-1BDD6C61C3FD}) (Version: 48.112.10439 - Microsoft Corporation) Hidden
Microsoft .NET Toolset 6.0.420 (x86) (HKLM-x32\...\{13116478-868E-419B-9651-BA082551CA60}) (Version: 24.7.53351 - Microsoft Corporation) Hidden
Microsoft ASP.NET Core 6.0.28 Shared Framework (x86) (HKLM-x32\...\{EC620601-936C-3406-9115-2387FC43C09E}) (Version: 6.0.28.24120 - Microsoft Corporation) Hidden
Microsoft ASP.NET Core 6.0.28 Targeting Pack (x86) (HKLM-x32\...\{1F0FCC73-8D92-32D4-B811-B55331714D6A}) (Version: 6.0.28.24120 - Microsoft Corporation) Hidden
Microsoft Edge (HKLM-x32\...\Microsoft Edge) (Version: 141.0.3537.71 - Microsoft Corporation)
Microsoft Edge WebView2-Laufzeit (HKLM-x32\...\Microsoft EdgeWebView) (Version: 141.0.3537.71 - Microsoft Corporation) Hidden
Microsoft OneDrive (HKU\S-1-5-21-329764873-3730399202-3692619208-1001\...\OneDriveSetup.exe) (Version: 20.052.0311.0011 - Microsoft Corporation)
Microsoft OneDrive (HKU\S-1-5-21-329764873-3730399202-3692619208-1002\...\OneDriveSetup.exe) (Version: 20.143.0716.0003 - Microsoft Corporation)
Microsoft OneDrive (HKU\S-1-5-21-329764873-3730399202-3692619208-1003\...\OneDriveSetup.exe) (Version: 21.073.0411.0002 - Microsoft Corporation)
Microsoft Update Health Tools (HKLM\...\{1FC1A6C2-576E-489A-9B4A-92D21F542136}) (Version: 3.74.0.0 - Microsoft Corporation)
Microsoft VC++ redistributables repacked. (HKLM\...\{93E32441-3402-439F-8EF7-8EC66D3B74CA}) (Version: 12.0.0.0 - Intel Corporation) Hidden
Microsoft VC++ redistributables repacked. (HKLM-x32\...\{4ADC7996-3183-4E8D-8827-34E6558F5B83}) (Version: 12.0.0.0 - Intel Corporation) Hidden
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 (HKLM-x32\...\{d8bbe9f9-7c5b-42c6-b715-9ee898a2e515}) (Version: 14.44.35211.0 - Microsoft Corporation)
Microsoft Visual C++ 2022 X64 Additional Runtime - 14.44.35211 (HKLM\...\{86AB2CC9-08BD-4643-B0F9-F82D006D72FF}) (Version: 14.44.35211 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2022 X64 Minimum Runtime - 14.44.35211 (HKLM\...\{43B0D101-A022-48F4-9D04-BA404CEB1D53}) (Version: 14.44.35211 - Microsoft Corporation) Hidden
Microsoft Windows Desktop Runtime - 6.0.28 (x86) (HKLM-x32\...\{E7F502FB-1F92-4EC3-9F8F-5E0ACD4DAFF5}) (Version: 48.112.10435 - Microsoft Corporation) Hidden
Microsoft Windows Desktop Runtime - 6.0.36 (x64) (HKLM\...\{61D4736B-3325-4D4A-BD41-8BD206C6A86E}) (Version: 48.144.23186 - Microsoft Corporation) Hidden
Microsoft Windows Desktop Runtime - 6.0.36 (x64) (HKLM-x32\...\{0532b8f2-12d7-43de-95fc-7b87006758a8}) (Version: 6.0.36.34217 - Microsoft Corporation)
Microsoft Windows Desktop Runtime - 8.0.11 (x64) (HKLM\...\{C0790AA0-0F40-4836-85B2-677B87625E63}) (Version: 64.44.23253 - Microsoft Corporation) Hidden
Microsoft Windows Desktop Runtime - 8.0.11 (x64) (HKLM-x32\...\{bd40e761-3e88-4202-9b53-26c6bed3d467}) (Version: 8.0.11.34221 - Microsoft Corporation)
Microsoft Windows Desktop Targeting Pack - 6.0.28 (x86) (HKLM-x32\...\{AF20E0D3-72B5-4FE3-B0FB-5E4BB09AAC22}) (Version: 48.112.10435 - Microsoft Corporation) Hidden
Microsoft.NET.Sdk.Android.Manifest-6.0.300 (HKLM-x32\...\{D9472973-3231-481A-99A0-A34992541138}) (Version: 128.75.16384 - Microsoft Corporation) Hidden
Microsoft.NET.Sdk.iOS.Manifest-6.0.300 (HKLM-x32\...\{B7F00346-0342-42E8-9BD2-0EA9867A6064}) (Version: 125.191.42208 - Microsoft Corporation) Hidden
Microsoft.NET.Sdk.MacCatalyst.Manifest-6.0.300 (HKLM-x32\...\{847C9780-42FF-4621-BA1E-20C0CD779FF0}) (Version: 125.191.42208 - Microsoft Corporation) Hidden
Microsoft.NET.Sdk.macOS.Manifest-6.0.300 (HKLM-x32\...\{1B5E440D-23FB-4AC3-89F6-8C7C2E03D774}) (Version: 100.255.42208 - Microsoft Corporation) Hidden
Microsoft.NET.Sdk.Maui.Manifest-6.0.300 (HKLM-x32\...\{41F24AC3-858C-4543-9744-6D238471CC6C}) (Version: 24.78.0 - Microsoft Corporation) Hidden
Microsoft.NET.Sdk.tvOS.Manifest-6.0.300 (HKLM-x32\...\{A2B3C614-4907-4D23-A698-FAD5C4CBABCC}) (Version: 125.191.42208 - Microsoft Corporation) Hidden
Microsoft.NET.Workload.Emscripten.Manifest (x86) (HKLM-x32\...\{BF18E135-50DB-4B8D-B18A-0B44DE266321}) (Version: 48.112.10338 - Microsoft Corporation) Hidden
Microsoft.NET.Workload.Mono.Toolchain.Manifest (HKLM-x32\...\{794DD37A-B0C1-4369-8434-0490092C6E6E}) (Version: 48.3.40665 - Microsoft Corporation) Hidden
Mozilla Firefox ESR (x64 de) (HKLM\...\Mozilla Firefox 140.3.1 ESR (x64 de)) (Version: 140.3.1 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 91.10.0 - Mozilla)
Mozilla Thunderbird ESR (x64 de) (HKLM\...\Mozilla Thunderbird 140.3.1 ESR (x64 de)) (Version: 140.3.1 - Mozilla)
MPC-HC 2.0.0 (64-bit) (HKLM\...\{2ACBF1FA-F5C3-4B19-A774-B22A31F231B9}_is1) (Version: 2.0.0 - MPC-HC Team)
Opera Stable 70.0.3728.106 (HKU\S-1-5-21-329764873-3730399202-3692619208-1002\...\Opera 70.0.3728.106) (Version: 70.0.3728.106 - Opera Software)
Passbild-Generator v4.0b (HKLM-x32\...\Passbild-Generator_is1) (Version:  - Passbild-Generator)
PDF-Viewer (HKLM\...\{A278382D-4F1B-4D47-9885-8523F7261E8D}_is1) (Version: 2.5.322.10 - Tracker Software Products Ltd)
Realtek Audio COM Components (HKLM-x32\...\{2355B503-9B11-4449-861D-1C1748B26320}) (Version: 1.0.2 - Realtek Semiconductor Corp.)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6105 - Realtek Semiconductor Corp.)
Samsung Magician (HKLM-x32\...\{29AE3F9F-7158-4ca7-B1ED-28A73ECDB215}_is1) (Version: 8.2.0.880 - Samsung Electronics)
Screenshot Captor 4.36.2 (HKLM-x32\...\ScreenshotCaptor_is1) (Version:  - )
Signal 7.73.0 (HKU\S-1-5-21-329764873-3730399202-3692619208-1003\...\7d96caee-06e6-597c-9f2f-c7bb2e0948b4) (Version: 7.73.0 - Signal Messenger, LLC)
SyncBackFree (HKU\S-1-5-21-329764873-3730399202-3692619208-1003\...\SyncBackFree_is1) (Version: 11.3.56.0 - 2BrightSparks)
Telegram Desktop (HKU\S-1-5-21-329764873-3730399202-3692619208-1003\...\{53F49750-6209-4FBF-9CA8-7A333C87D1ED}_is1) (Version: 5.10.3 - Telegram FZ-LLC)
Total Commander 64-bit (Remove or Repair) (HKLM\...\Totalcmd64) (Version: 10.52 - Ghisler Software GmbH)
Update for x64-based Windows Systems (KB5001716) (HKLM\...\{B8D93870-98D1-4980-AFCA-E26563CDFB79}) (Version: 8.94.0.0 - Microsoft Corporation)
VLC media player (HKLM\...\VLC media player) (Version: 3.0.20 - VideoLAN)
Windows-PC-Integritätsprüfung (HKLM\...\{B3956CF3-F6C5-4567-AC38-1FD4432B319C}) (Version: 3.6.2204.08001 - Microsoft Corporation)
WinMerge 2.16.42.1 x64 (HKLM\...\WinMerge_is1) (Version: 2.16.42.1 - Thingamahoochie Software)
XnView 2.50 (HKLM-x32\...\XnView_is1) (Version: 2.50 - Gougelet Pierre-e)
Zoom (HKU\S-1-5-21-329764873-3730399202-3692619208-1003\...\ZoomUMX) (Version: 5.9.3 (3169) - Zoom Video Communications, Inc.)
Zoom Player (remove only) (HKLM-x32\...\ZoomPlayer) (Version: 17.1 - Inmatrix LTD)
Zoom Player deutsche Sprachdateien (entfernen) (HKLM-x32\...\ZoomPlayer_German) (Version:  - )
Zoom Player Spanish language (remove only) (HKLM-x32\...\ZoomPlayer_Spanish) (Version:  - )

Packages:
=========
Microsoft Solitaire Collection -> C:\Program Files\WindowsApps\Microsoft.MicrosoftSolitaireCollection_4.9.5060.0_x64__8wekyb3d8bbwe [2025-10-10] (Microsoft Studios) [MS Ad]

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

CustomCLSID: HKU\S-1-5-21-329764873-3730399202-3692619208-1003_Classes\CLSID\{44111f6e-a088-4757-b495-a911f1c2a40b}\InprocServer32 -> C:\Program Files\Mozilla Thunderbird\notificationserver.dll (Mozilla Corporation -> Mozilla Foundation)
CustomCLSID: HKU\S-1-5-21-329764873-3730399202-3692619208-1003_Classes\CLSID\{47E6DCAF-41F8-441C-BD0E-A50D5FE6C4D1}\localserver32 -> C:\Users\ruediger\AppData\Local\Microsoft\OneDrive\21.073.0411.0002\Microsoft.Nucleus.exe (Microsoft Corporation -> Microsoft Corporation)
CustomCLSID: HKU\S-1-5-21-329764873-3730399202-3692619208-1003_Classes\CLSID\{7CDEF4A7-4349-4365-860E-8AAD06602066}\InprocServer32 -> C:\Program Files\Mozilla Thunderbird\notificationserver.dll (Mozilla Corporation -> Mozilla Foundation)
CustomCLSID: HKU\S-1-5-21-329764873-3730399202-3692619208-1003_Classes\CLSID\{917E8742-AA3B-7318-FA12-10485FB322A2}\localserver32 -> C:\Users\ruediger\AppData\Local\Microsoft\OneDrive\21.073.0411.0002\Microsoft.Nucleus.exe (Microsoft Corporation -> Microsoft Corporation)
CustomCLSID: HKU\S-1-5-21-329764873-3730399202-3692619208-1003_Classes\CLSID\{b72e6f5e-f6e0-a9eb-461b-6118363bd15c}\localserver32 -> C:\ProgramData\0install.net\implementations\sha256new_HQC6CQZV5N3LD55RWV4SXQJ4SCLENAELCSFIBE4SZELQPSUYFICQ\DeepL.exe (DeepL SE -> DeepL SE)
CustomCLSID: HKU\S-1-5-21-329764873-3730399202-3692619208-1003_Classes\CLSID\{cf282f45-3a15-4ef1-8c30-644fc5733a9f}\InprocServer32 -> C:\Program Files\LibreWolf\notificationserver.dll (Mozilla Foundation) [Datei ist nicht signiert]
ContextMenuHandlers1: [WinMerge] -> {4E716236-AA30-4C65-B225-D68BBA81E9C2} => C:\Program Files\WinMerge\ShellExtensionX64.dll [2023-02-27] (Takashi Sawanaka -> hxxps://winmerge.org)
ContextMenuHandlers2: [WinMerge] -> {4E716236-AA30-4C65-B225-D68BBA81E9C2} => C:\Program Files\WinMerge\ShellExtensionX64.dll [2023-02-27] (Takashi Sawanaka -> hxxps://winmerge.org)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2025-10-03] (Malwarebytes Inc -> Malwarebytes)
ContextMenuHandlers4: [WinMerge] -> {4E716236-AA30-4C65-B225-D68BBA81E9C2} => C:\Program Files\WinMerge\ShellExtensionX64.dll [2023-02-27] (Takashi Sawanaka -> hxxps://winmerge.org)
ContextMenuHandlers4: [ZPShellExt] -> {ABE00001-0123-ABED-1248-0248ADFA1909} => C:\Program Files (x86)\Zoom Player\zpshlext64.dll [2017-07-05] (Inmatrix LTD -> )
ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => C:\WINDOWS\system32\igfxDTCM.dll [2018-02-26] (Microsoft Windows Hardware Compatibility Publisher -> Intel Corporation)
ContextMenuHandlers5: [WinMerge] -> {4E716236-AA30-4C65-B225-D68BBA81E9C2} => C:\Program Files\WinMerge\ShellExtensionX64.dll [2023-02-27] (Takashi Sawanaka -> hxxps://winmerge.org)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2025-10-03] (Malwarebytes Inc -> Malwarebytes)

==================== Codecs (Nicht auf der Ausnahmeliste) ====================

==================== Verknüpfungen & WMI ========================

==================== Geladene Module (Nicht auf der Ausnahmeliste) =============

2025-09-24 19:21 - 2025-09-24 19:21 - 001559040 _____ (Bastian Eicher) [Datei ist nicht signiert] C:\WINDOWS\assembly\NativeImages_v4.0.30319_64\NanoByte.Common\c26f1dbd3cc9a426b421610147736deb\NanoByte.Common.ni.dll
2025-09-24 21:31 - 2025-09-24 21:31 - 000956416 _____ (Bastian Eicher) [Datei ist nicht signiert] C:\WINDOWS\assembly\NativeImages_v4.0.30319_64\ZeroInstall.Store\ea1ee244e827aed3d845d6e7fac2d3c3\ZeroInstall.Store.ni.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) ========

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ==================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) =================

==================== Internet Explorer (Nicht auf der Ausnahmeliste) =============

HKU\S-1-5-21-329764873-3730399202-3692619208-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

==================== Hosts Inhalt: =========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2019-03-19 06:49 - 2024-05-31 09:18 - 000000027 _____ C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1      localhost

==================== Network ===========================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

DNS Servers: Datenträger ist nicht mit dem Internet verbunden.
 ist aktiviert.

Network Binding:
=============
WLAN: Intel(R) Dual Band Wireless-AC 7265 -> Netwtw04.sys
Bluetooth-Netzwerkverbindung: Bluetooth Device (Personal Area Network) -> bthpan.sys
Ethernet: Intel(R) Ethernet Connection (3) I218-LM -> e1d65x64.sys

==================== Andere Bereiche ===========================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path -> C:\Program Files (x86)\Intel\iCLS Client\;C:\Program Files\Intel\iCLS Client\;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\WINDOWS\System32\WindowsPowerShell\v1.0\;C:\WINDOWS\System32\OpenSSH\;C:\Program Files\Meld\;C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL;C:\Program Files\Intel\Intel(R) Management Engine Components\DAL;C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT;C:\Program Files\Intel\Intel(R) Management Engine Components\IPT;C:\Program Files\dotnet\;C:\Program Files\Zero Install
HKU\S-1-5-21-329764873-3730399202-3692619208-1001\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\wallpaper\Windows\img0.jpg
HKU\S-1-5-21-329764873-3730399202-3692619208-1002\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\wallpaper\Windows\img0.jpg
HKU\S-1-5-21-329764873-3730399202-3692619208-1003\Control Panel\Desktop\\Wallpaper -> C:\WINDOWS\web\wallpaper\Windows\img0.jpg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
HKLM\SOFTWARE\Microsoft\Windows Defender\Features => (TamperProtection: 1) (TamperProtectionSource: 5)
HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection => (DpaDisabled: 0)


==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{2555DE75-B3DD-4764-9E9C-041A435439D6}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{9E0584B6-6068-4A9F-B281-FA3206B7277A}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [TCP Query User{3511CBDF-C016-4E30-A0A2-4F8F7F89EE75}C:\program files\librewolf\librewolf.exe] => (Allow) C:\program files\librewolf\librewolf.exe (Mozilla Corporation) [Datei ist nicht signiert]
FirewallRules: [UDP Query User{EDE571A1-1628-426A-9985-3AC306BE5A5A}C:\program files\librewolf\librewolf.exe] => (Allow) C:\program files\librewolf\librewolf.exe (Mozilla Corporation) [Datei ist nicht signiert]
FirewallRules: [TCP Query User{8E10FCBF-1585-44EA-AA4E-A89805DA6A65}C:\program files\videolan\vlc\vlc.exe] => (Allow) C:\program files\videolan\vlc\vlc.exe (VideoLAN -> VideoLAN)
FirewallRules: [UDP Query User{EEC05777-868F-4A94-A1C8-2DA4720C34F0}C:\program files\videolan\vlc\vlc.exe] => (Allow) C:\program files\videolan\vlc\vlc.exe (VideoLAN -> VideoLAN)
FirewallRules: [{9B50BA27-B13C-474C-88BE-CDBFC1BD0A4C}] => (Allow) C:\Program Files\Zero Install\0install.exe (SignPath Foundation -> Bastian Eicher)
FirewallRules: [{38C3B064-21A6-4CB0-A803-7AF670AD7E48}] => (Allow) C:\Program Files\Zero Install\0install-win.exe (SignPath Foundation -> 0install-win)
FirewallRules: [{99373C97-4034-45D1-8810-D2F72E952F55}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)

==================== Wiederherstellungspunkte =========================

06-10-2025 19:02:58 Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211
10-10-2025 21:39:53 Wiederherstellungsvorgang
10-10-2025 22:11:04 10-10-manuell-nach_Wiederh-auf-06-10
11-10-2025 20:36:49 manuell-11-10-25
11-10-2025 20:37:27 Removed Java 8 Update 441

==================== Fehlerhafte Geräte im Gerätemanager ============
Name: Broadcom USH
Description: Broadcom USH
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Fehlereinträge in der Ereignisanzeige: ========================

Applikationsfehler:
==================
Error: (10/11/2025 03:32:00 AM) (Source: VSS) (EventID: 8193) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance" ist ein unerwarteter Fehler aufgetreten. hr = 0x8007045b, Der Computer wird heruntergefahren..

Error: (10/11/2025 03:32:00 AM) (Source: VSS) (EventID: 13) (User: )
Description: Volumenschattenkopie-Dienst-Informationen: Der COM-Server mit CLSID {4e14fba2-2e22-11d1-9964-00c04fbbb345} und dem Namen "CEventSystem" kann nicht gestartet werden. [0x8007045b, Der Computer wird heruntergefahren.]

Error: (10/11/2025 03:32:00 AM) (Source: VSS) (EventID: 8193) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance" ist ein unerwarteter Fehler aufgetreten. hr = 0x8007045b, Der Computer wird heruntergefahren..

Error: (10/11/2025 03:32:00 AM) (Source: VSS) (EventID: 13) (User: )
Description: Volumenschattenkopie-Dienst-Informationen: Der COM-Server mit CLSID {4e14fba2-2e22-11d1-9964-00c04fbbb345} und dem Namen "CEventSystem" kann nicht gestartet werden. [0x8007045b, Der Computer wird heruntergefahren.]

Error: (10/10/2025 10:02:02 PM) (Source: ESENT) (EventID: 455) (User: )
Description: svchost (4692,R,98) SRUJet: Fehler -1811 (0xfffff8ed) beim Öffnen von Protokolldatei C:\WINDOWS\system32\SRU\SRU0D18A.log.

Error: (10/09/2025 08:45:33 AM) (Source: DPTF) (EventID: 256) (User: )
Description: Intel(R) Dynamic Platform and Thermal Framework : ESIF(8.3.10209.6897) TYPE: ERROR MODULE: DPTF TIME 11848 ms

DPTF Build Version:  8.3.10209.6897
DPTF Build Date:  Aug 21 2018 21:44:24
Source File:  ..\..\..\..\Sources\Policies\PassivePolicy\PassivePolicy.cpp @ line 300
Executing Function:  PassivePolicy::onDomainPerformanceControlCapabilityChanged
Message: 
DPTF Build Version:  8.3.10209.6897
DPTF Build Date:  Aug 21 2018 21:44:24
Source File:  ..\..\..\Sources\Manager\EsifServices.cpp @ line 229
Executing Function:  EsifServices::primitiveExecuteSetAsUInt32
Message:  Error returned from ESIF services interface function call
Participant:  TCPU [0]
Domain:  CPU [1]
ESIF Primitive:  SET_PERF_PRESENT_CAPABILITY [82]
ESIF Instance:  255
ESIF Return Code:  ESIF_E_ACPI_EVAL_FAILURE [1105]


Policy:  Passive Policy [1]

Error: (10/09/2025 08:45:33 AM) (Source: DPTF) (EventID: 256) (User: )
Description: Intel(R) Dynamic Platform and Thermal Framework : ESIF(8.3.10209.6897) TYPE: ERROR MODULE: DPTF TIME 11842 ms

DPTF Build Version:  8.3.10209.6897
DPTF Build Date:  Aug 21 2018 21:44:24
Source File:  ..\..\..\..\Sources\Policies\PassivePolicy\PassivePolicy.cpp @ line 300
Executing Function:  PassivePolicy::onDomainPerformanceControlCapabilityChanged
Message: 
DPTF Build Version:  8.3.10209.6897
DPTF Build Date:  Aug 21 2018 21:44:24
Source File:  ..\..\..\Sources\Manager\EsifServices.cpp @ line 229
Executing Function:  EsifServices::primitiveExecuteSetAsUInt32
Message:  Error returned from ESIF services interface function call
Participant:  TCPU [0]
Domain:  CPU [1]
ESIF Primitive:  SET_PERF_PRESENT_CAPABILITY [82]
ESIF Instance:  255
ESIF Return Code:  ESIF_E_ACPI_EVAL_FAILURE [1105]


Policy:  Passive Policy [1]

Error: (10/09/2025 01:21:43 AM) (Source: VSS) (EventID: 8193) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance" ist ein unerwarteter Fehler aufgetreten. hr = 0x8007045b, Der Computer wird heruntergefahren..


Systemfehler:
=============
Error: (10/11/2025 09:41:02 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Google Update-Dienst (gupdate)" wurde aufgrund folgenden Fehlers nicht gestartet:
Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.

Error: (10/11/2025 09:41:02 PM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst Google Update-Dienst (gupdate) erreicht.

Error: (10/11/2025 09:39:03 PM) (Source: WudfUsbccidDriver) (EventID: 11) (User: NT-AUTORITÄT)
Description: Event-ID 11

Error: (10/11/2025 09:39:03 PM) (Source: SCardSvr) (EventID: 610) (User: )
Description: Smartcard-Lesegerät "Broadcom Corp Contacted SmartCard 0" verweigerte IOCTL POWER: Die Smartcard konnte nicht zurückgesetzt werden.. Wenn dieser Fehler weiterhin besteht, werden die Smartcard oder das Lesegerät möglicherweise nicht richtig ausgeführt.

Befehlskopf: 01 00 00 00.

Error: (10/11/2025 09:39:01 PM) (Source: WudfUsbccidDriver) (EventID: 11) (User: NT-AUTORITÄT)
Description: Event-ID 11

Error: (10/11/2025 09:39:01 PM) (Source: SCardSvr) (EventID: 610) (User: )
Description: Smartcard-Lesegerät "Broadcom Corp Contacted SmartCard 0" verweigerte IOCTL POWER: Die Smartcard konnte nicht zurückgesetzt werden.. Wenn dieser Fehler weiterhin besteht, werden die Smartcard oder das Lesegerät möglicherweise nicht richtig ausgeführt.

Befehlskopf: 01 00 00 00.

Error: (10/11/2025 09:38:59 PM) (Source: WudfUsbccidDriver) (EventID: 11) (User: NT-AUTORITÄT)
Description: Event-ID 11

Error: (10/11/2025 09:38:59 PM) (Source: SCardSvr) (EventID: 610) (User: )
Description: Smartcard-Lesegerät "Broadcom Corp Contacted SmartCard 0" verweigerte IOCTL POWER: Die Smartcard konnte nicht zurückgesetzt werden.. Wenn dieser Fehler weiterhin besteht, werden die Smartcard oder das Lesegerät möglicherweise nicht richtig ausgeführt.

Befehlskopf: 01 00 00 00.


Windows Defender:
================
Date: 2025-10-11 21:32:14
Description:
Microsoft Defender Antivirus ŝςåņ нάѕ ь℮єñ šţθρρęδ ъěƒőґέ ςöмφľеţìòπ.%и %ťŚ¢ăⁿ ЇĐ:%в{64F9C179-D9AB-4286-A5E7-26867D92BFE3}%η %ŧŜсäʼn Тỳφє:%вAntimalware%п %тŜςάп Ρăŕáмзтёřś:%вSchnellüberprüfung%π  %ťŬşêř:%вDELL-E7450\ruediger%и %ŧŞţōρ Гэášóй:%вŲηķлθωπ

Date: 2025-10-11 15:04:55
Description:
Microsoft Defender Antivirus ŝςåņ нάѕ ь℮єñ šţθρρęδ ъěƒőґέ ςöмφľеţìòπ.%и %ťŚ¢ăⁿ ЇĐ:%в{77B2944E-CA77-42F0-B220-8B4414CBCD42}%η %ŧŜсäʼn Тỳφє:%вAntimalware%п %тŜςάп Ρăŕáмзтёřś:%вSchnellüberprüfung%π  %ťŬşêř:%вNT-AUTORITÄT\SYSTEM%и %ŧŞţōρ Гэášóй:%вŘРĊ çöηήз¢ţĩŏη ŗùήδōẁń

Date: 2025-10-11 14:59:55
Description:
Microsoft Defender Antivirus ŝςåņ нάѕ ь℮єñ šţθρρęδ ъěƒőґέ ςöмφľеţìòπ.%и %ťŚ¢ăⁿ ЇĐ:%в{A5FF091F-ABA4-4F3D-9FB3-113F756344F9}%η %ŧŜсäʼn Тỳφє:%вAntimalware%п %тŜςάп Ρăŕáмзтёřś:%вSchnellüberprüfung%π  %ťŬşêř:%вNT-AUTORITÄT\SYSTEM%и %ŧŞţōρ Гэášóй:%вŘРĊ çöηήз¢ţĩŏη ŗùήδōẁń

Date: 2025-10-11 14:49:55
Description:
Microsoft Defender Antivirus ŝςåņ нάѕ ь℮єñ šţθρρęδ ъěƒőґέ ςöмφľеţìòπ.%и %ťŚ¢ăⁿ ЇĐ:%в{28F37C9C-9685-4CBB-8E36-84ADA3ABC38D}%η %ŧŜсäʼn Тỳφє:%вAntimalware%п %тŜςάп Ρăŕáмзтёřś:%вSchnellüberprüfung%π  %ťŬşêř:%вNT-AUTORITÄT\SYSTEM%и %ŧŞţōρ Гэášóй:%вŘРĊ çöηήз¢ţĩŏη ŗùήδōẁń

Date: 2025-10-11 14:44:55
Description:
Microsoft Defender Antivirus ŝςåņ нάѕ ь℮єñ šţθρρęδ ъěƒőґέ ςöмφľеţìòπ.%и %ťŚ¢ăⁿ ЇĐ:%в{25B12842-9BDF-4E31-A91A-57353683E26F}%η %ŧŜсäʼn Тỳφє:%вAntimalware%п %тŜςάп Ρăŕáмзтёřś:%вSchnellüberprüfung%π  %ťŬşêř:%вNT-AUTORITÄT\SYSTEM%и %ŧŞţōρ Гэášóй:%вŘРĊ çöηήз¢ţĩŏη ŗùήδōẁń
Event[0]:

Date: 2025-10-10 22:02:10
Description:
Bei Microsoft Defender Antivirus ist ein Fehler beim Aktualisieren der Security Intelligence aufgetreten. Es wird versucht, zu einer vorherigen Version zurückzukehren.
Security Intelligence versucht: Aktuell
Fehlercode: 0x80070003
Fehlerbeschreibung: Das System kann den angegebenen Pfad nicht finden.
Security Intelligence-Version: 0.0.0.0;0.0.0.0
Modulversion: 0.0.0.0

Date: 2025-09-17 19:57:43
Description:
Bei Microsoft Defender Antivirus ist ein Fehler bei dem Versuch aufgetreten, eine verdächtige Datei zur weiteren Analyse hochzuladen.
Dateiname: C:\Users\ruediger\AppData\Local\Temp\o1JbVpM8.exe.part
Sha256: ff7f3dc891e95f311a8c16c95161c00a26ef9917e6a66ebd8093bbbb2f8a18e8
Aktuelle Sicherheitsversion: AV: 1.437.11.0, AS: 1.437.11.0
Aktuelle Modulversion: 1.1.25080.5
Fehlercode: 0x80508016

Date: 2025-06-30 23:25:57
Description:
Bei Microsoft Defender Antivirus ist ein Fehler beim Aktualisieren der Sicherheitsinformationen aufgetreten.
Neue Version der Sicherheitsinformationen: 1.431.317.0
%Vorherige Version der Sicherheitsinformationen: 1.431.300.0
Update Source: Benutzer
Sicherheitstyp: AntiSpyware
Updatetyp: Delta
Benutzer: NT-AUTORITÄT\SYSTEM
Aktuelle Modulversion: 1.1.25050.6
%Vorherige Modulversion: 1.1.25050.6
Fehlercode: 0x80501102
Fehlerbeschreibung: Unerwartetes Problem. Installieren Sie bei Bedarf verfügbare Updates, und starten Sie das Programm dann erneut. Informationen zum Installieren von Updates finden Sie unter "Hilfe und Support".

Date: 2025-06-30 23:25:57
Description:
Bei Microsoft Defender Antivirus ist ein Fehler beim Aktualisieren der Sicherheitsinformationen aufgetreten.
Neue Version der Sicherheitsinformationen: 1.431.317.0
%Vorherige Version der Sicherheitsinformationen: 1.431.300.0
Update Source: Benutzer
Sicherheitstyp: AntiVirus
Updatetyp: Delta
Benutzer: NT-AUTORITÄT\SYSTEM
Aktuelle Modulversion: 1.1.25050.6
%Vorherige Modulversion: 1.1.25050.6
Fehlercode: 0x80501102
Fehlerbeschreibung: Unerwartetes Problem. Installieren Sie bei Bedarf verfügbare Updates, und starten Sie das Programm dann erneut. Informationen zum Installieren von Updates finden Sie unter "Hilfe und Support".

CodeIntegrity:
===============
Date: 2025-07-05 17:42:34
Description:
Code Integrity determined that a process (\Device\HarddiskVolume2\Program Files (x86)\Google\Chrome\Application\chrome.exe) attempted to load \Device\HarddiskVolume2\Program Files (x86)\Google\Chrome\Application\137.0.7151.122\chrome.dll that did not meet the Microsoft signing level requirements.

Date: 2024-12-19 00:55:20
Description:
Code Integrity determined that a process (\Device\HarddiskVolume2\Windows\System32\SecurityHealthService.exe) attempted to load \Device\HarddiskVolume2\Program Files\Malwarebytes\Anti-Malware\mbamsi64.dll that did not meet the Windows signing level requirements.

Date: 2024-10-08 11:20:58
Description:
Code Integrity determined that a process (\Device\HarddiskVolume2\Windows\System32\svchost.exe) attempted to load \Device\HarddiskVolume2\Program Files\Malwarebytes\Anti-Malware\mbamsi64.dll that did not meet the Windows signing level requirements.


==================== Speicherinformationen ===========================

BIOS: Dell Inc. A23 11/25/2019
Hauptplatine: Dell Inc. 0D8H72
Prozessor: Intel(R) Core(TM) i5-5300U CPU @ 2.30GHz
Prozentuale Nutzung des RAM: 41%
Installierter physikalischer RAM: 8064.28 MB
Verfügbarer physikalischer RAM: 4735.93 MB
Summe virtueller Speicher: 16128.55 MB
Verfügbarer virtueller Speicher: 13040.85 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:118.14 GB) (Free:21.49 GB) (Model: SAMSUNG SSD SM841 2.5" 7mm 128GB) NTFS
Drive e: (01795191953-RH) (Removable) (Total:57.75 GB) (Free:5.94 GB) NTFS

\\?\Volume{ee88c98b-0000-0000-0000-100000000000}\ (System-reserviert) (Fixed) (Total:0.57 GB) (Free:0.53 GB) NTFS
\\?\Volume{ee88c98b-0000-0000-0000-f0ac1d000000}\ () (Fixed) (Total:0.54 GB) (Free:0.08 GB) NTFS

==================== MBR & Partitionstabelle ====================

==========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 119.2 GB) (Disk ID: EE88C98B)
Partition 1: (Active) - (Size=579 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=118.1 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=551 MB) - (Type=27)

==========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 57.8 GB) (Disk ID: 284621CE)
Partition 1: (Active) - (Size=57.7 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt =======================
--- --- ---




###

Am nächsten Tag wurden mir nach einem nächtlichen DEEP Scan von MWB von Windows Defender noch 2 Schädlinge gemeldet, welche ich alle in Quarantäne schieben ließ.


Bezeichnung der Schädlinge:

11.10.2025 00:34 UHR

Trojan:Win64/Malgent!MSR
Ransom:MSIL/Gorf

Wobei der untere mit frST.exE in Verbindung gebracht wurde.


THX in advance für jede Hilfe

cosinus 12.10.2025 20:24
Es ist immer wieder erstaunlich, dass die Leute immer noch reihenweise auf Schrottdownload von sowas wie chip.de, vlc.de oder softonic reinfallen.

Downloadquellen

Lade keine Software von Chip.de, Softonic.de, sourceforge.net, openoffice.de, VLC.de, audacity.de, gimp24.de oder updatestar.com.
Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software (Potentially unwanted programs, kurz PUP) oder Adware installiert.
Auf manchen Seiten wird direkt PUP / Adware zum Download angeboten.

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.

Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software immer direkt beim jeweiligen Hersteller / Entwickler.

flysurfer24 12.10.2025 20:32
Hallo,
danke für die schnelle AW.
Ich habe es nicht von chip.de runtergeladen. Und Softonic meide ich strikt seit mind. 10 Jahren!

cosinus 12.10.2025 20:46
Dann ist ja gut.

adwCleaner

Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei in CODE-Tags.

adwcleaner zwecks Kontrolle bitte wiederholen, falls es Funde gab.

Dann jetzt bitte mit Malwarebytes weitermachen.

flysurfer24 12.10.2025 20:57
O.K.;
here we go:

Code:
# -------------------------------
# Malwarebytes AdwCleaner 8.6.0.613
# -------------------------------
# Build:    08-19-2025
# Database: 2025-08-19.3 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    10-12-2025
# Duration: 00:00:17
# OS:      Windows 10 (Build 19045.6332)
# Scanned:  32081
# Detected: 0


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.


AdwCleaner[S00].txt - [1420 octets] - [29/05/2024 08:21:48]
AdwCleaner[S01].txt - [1481 octets] - [29/05/2024 08:32:48]
AdwCleaner[S02].txt - [1542 octets] - [30/05/2024 09:44:55]
AdwCleaner[S03].txt - [1605 octets] - [12/10/2025 13:31:35]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S04].txt ##########

cosinus 12.10.2025 21:00
Alles sehr sehr unauffällig. Nur das hier fällt mir auf:

Code:
Startup: C:\Users\ruediger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\startCDinfo.cmd [2021-11-20] () [Datei ist nicht signiert] <==== ACHTUNG
Weißt du was das ist?

flysurfer24 13.10.2025 07:34
Das ist ein Aufruf für ein VBS-Script, welches die zyklische
Betätigung der F13 Taste simuliert.


Code:
Set wsc = CreateObject("WScript.Shell")

Do

WScript.Sleep(5*60*1000)

wsc.SendKeys("{F13}")
Loop
Echt sehr aufmerksam von dir notiert :-)

Hier ist der MWB-Bericht

Code:
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 12.10.2025
Scan-Zeit: 21:59
Protokolldatei: f115c40e-a7a5-11f0-b932-f8cab81a7d1e.json

-Softwaredaten-
Version: 5.4.0.213
Komponentenversion: 141.1.5388
Version des Aktualisierungspakets: 1.0.103835
Lizenz: Kostenlos

-Systemdaten-
Betriebssystem: Windows 10 (Build 19045.6332)
CPU: x64
Dateisystem: NTFS
Benutzer: DELL-E7450\ruediger

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 236219
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 1 Std., 10 Min., 26 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
Hallo,
mein MWB LOG wurde gestern im letzten Beitrag "angehängt" .

cosinus 13.10.2025 08:50
Code:
C:\FRST\FRST64.exe => Prozess erfolgreich geschlossen
C:\FRST\FRST64.exe => Prozess erfolgreich geschlossen
C:\FRST\FRST64.exe => erfolgreich verschoben
Was hast du denn da gemacht?
Mit FRST hast du FRST selbst verschoben? :wtf:

Ansonsten sehe ich keine Schädlinge da. Gut möglich, dass der Fund von MBAM nur ein Fehlalarm war.

flysurfer24 13.10.2025 12:46
:knuddel:Moin, das ist von WIN Defender initiert (wahrscheinlich manuell von mir) erfolgt.
Nachdem alle downloads von FRST
im genannten Ordner c:\FRST sowie unter c:\..\"downloads"
von dem beim Aufruf geblockt wurden.

Schlussendlich habe ich FRST das 1. mal erfolgreich dann vom USB Stick gestartet.
..

Weiter : s.o.:

Code:
Bezeichnung der Schädlinge:

11.10.2025 00:34 UHR

Trojan:Win64/Malgent!MSR
Ransom:MSIL/Gorf

Wobei der untere mit frST.exE in Verbindung gebracht wurde.
Ich denke dieser weiterer Fund war auch ein realer.


Weil der als ein weiterer 2. Trojaner nachgeladen wurde, bestätigt sich mir das .

Ich hoffe, das System bleibt jetzt clean.
Und ich bedanke mich für die Unterstüzung hier :dankeschoen:


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132