Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   SPAM mit Rechnung als Worddatei im Anhang wurde angeklickt (https://www.trojaner-board.de/175236-spam-rechnung-worddatei-anhang-wurde-angeklickt.html)

mareb 19.01.2016 22:54
SPAM mit Rechnung als Worddatei im Anhang wurde angeklickt
 
Hallo
mein Bekannter hat eine Worddatei angeklickt, die als ominöse Rechnung daherkam - wie sie zur Zeit massenhaft kursieren.

Er benutzt Windows 8 und MS Word 2003.

Nach dem Anklicken der Word-Datei bekam er jedoch die Meldung, dass die Datei schreibgeschützt sei und nicht geöffnet werden kann.

Deshalb weiß ich nicht, ob in diesem Fall schon was passieren konnte (ich würde es als Krimineller so tarnen).

Ich kann, wenn das jemand sinnvoll findet, den Hexcode vom Dateianfang hier posten (ich machs mit Linux).

Die Rechnung hatte den Subject "RECHNUNG Kd.Nr. 8356624 vom 17.01.2016". In dieser Form mit wechselnder Nummer und Datum habe ich viele Mails im Junk-Ordner.

cosinus 19.01.2016 23:56
Hi,

Zitat:
Er benutzt Windows 8 und MS Word 2003.
Word 2003 bzw Office 2003 ist veraltet, bekommt keine Updates mehr und darf nicht mehr verwendet werden. Wenn er sich von diesem Microsoft-Geraffel nicht trennen kann, muss er entweder ne neue Office-Lizenz kaufen oder auf Alternativen umsteigen: LibreOffice, Softmaker Freeoffice

Genau solche Gelegenheiten nutzen Kriminelle aus. Die Faulheit von Leuten, die immer auf eine alte Office-Version setzen, v.a. die die keine Updates mehr bekommen, weil kein Support mehr vom Hersteller.

mareb 20.01.2016 00:01
Ach mann, lass doch solche Antworten.
Ich möchte doch nur gerne wissen, ob jemand Erfahrungen mit dem beschriebenen Verhalten hat und ob sich dennoch schon ein Trojaner installiert haben kann.

cosinus 20.01.2016 00:11
Wieso soll ich solche Antworten lassen? Es passt doch genau zum Thema. => Gefährliches Duo: Erpressungstrojaner kommt mit Word-Datei | heise Security

mareb 20.01.2016 00:17
Zitat:
Zitat von cosinus (Beitrag 1554814)
Wieso soll ich solche Antworten lassen? Es passt doch genau zum Thema. => Gefährliches Duo: Erpressungstrojaner kommt mit Word-Datei | heise Security
Klar, die Meldung hatte ich auch schon gelesen. Aber die Leute, die diese alten Word oder Windows Versionen benutzen und die völlig naiv auf solche Dateien klicken, die lesen hier nicht (entschuldige, wenn das nicht stimmt).

Mir kannst Du nur einen Gefallen tun, wenn Du inhaltlich zu meiner Frage etwas sagen kannst. Das allgemeine Herziehen über "dumme" User, die es nicht besser verdient haben, sich Viren und Trojaner einzufangen, bringt hier doch nichts.

cosinus 20.01.2016 00:22
Ja, aber es fängt damit an, dass man eine vernünftige Softwarebasis hat!! Wenn die scheiße ist, bringt all das diskutieren, aufklären und installieren an anderen Schutzmaßnahmen einfach rein garnix. Aber genau das willst du NICHT hören!

mareb 20.01.2016 00:26
Zitat:
Zitat von cosinus (Beitrag 1554818)
Ja, aber es fängt damit an, dass man eine vernünftige Softwarebasis hat!! Wenn die scheiße ist, bringt all das diskutieren, aufklären und installieren an anderen Schutzmaßnahmen einfach rein garnix. Aber genau das willst du NICHT hören!
Hi, also wenn Du mehr als 144000 Beiträge geschrieben hast, müßtest Du doch merken, dass ich nicht derjenige bin, dem Du das sagen mußt. Ich benutze seit 17 Jahren nur Linux und seit kurzem auch MacOS, bin Administrator für Linux und betreue einige Server und baue Software, die versucht, richtig sicher zu sein. Nur mit Windows-Viren und Trojanern kenne ich mich halt überhaupt nicht aus.

cosinus 20.01.2016 00:34
Und was hat das eine mit dem anderen zu tun? Im Gegenteil, ich sehe dich hier als neuen User, jetzt vier Beiträge, du verlangst aber von mir gleich zu sehen was für ein Linux-Admin du bist.

Und gerade weil du zugegeben hast, dich nicht (mehr) im Windows-Umfeld auszukennen, find ich so manche Reaktionen echt unangebracht. Anstatt sowas "danke für den Tipp, wusste ich echt nicht, dass Office 2003 so alt ist" kommst du mit einem "alter halt bloß die Fresse, das wollte ich nicht hören"

Ich bin auch Linux-Admin und -User. Und das schon seit acht Jahren. Debian, Ubuntu, XenServer. Zudem Windows Server 2008 und 2012. Noch mehr Schwanzvergleich oder willst du nun selbst zugeben, dass so ne Uralt Kacke wie Office 2003 sicherheitstechnisch der Super-GAU ist?

Ich würde an deiner Stelle als erstes mal das Office 2003 deinstallieren. Und dann vllt mal sowas wie FRST auf dem Rechner starten, damit wir Helfer Logs sehen können.

mareb 20.01.2016 00:40
Zitat:
Zitat von cosinus (Beitrag 1554822)
Und was hat das eine mit dem anderen zu tun? Im Gegenteil, ich sehe dich hier als neuen User, jetzt vier Beiträge, du verlangst aber von mir gleich zu sehen was für ein Linux-Admin du bist.

Ich würde an deiner Stelle als erstes mal das Office 2003 deinstallieren. Und dann vllt mal sowas wie FRST auf dem Rechner starten, damit wir Helfer Logs sehen können.
Ich mache garnichts, weil das nicht mein Rechner ist und ich auch nicht zur Verfügung habe. Natürlich werde ich ihm raten, LibreOffice zu installieren. Allerdings kann sich das erübrigen, wenn sich durch den oben genannten Effekt schon ein Trojaner installiert hat. Dann empfehle ich ihm nämlich den Austausch der Festplatte, weil ich keine Lust habe, diese Word Datei zu analysieren.

Und entschuldige: wie solltest Du wissen, wer ich bin und was ich mache. Ich dachte, Du könntest hellsehen :heilig:

cosinus 20.01.2016 00:43
Schon gut :D

Hau es runter. Du tust ihm mehr einen Gefallen damit, es runterzukloppen und eine Alternative bereitzustellen. safety first!!!

Es muss ja auch nicht LibreOffice sein. Es gibt ein FreeOffice von Softmaker, das sehr kompatibel zu Microsoft ist. => www.freeoffice.com - Home

Also fangen wir jetzt mal an oder :party:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


mareb 20.01.2016 00:47
Zitat:
Zitat von cosinus (Beitrag 1554825)
Also fangen wir jetzt mal an oder :party:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)
Ok, vielen Dank. Ich schicke dem Bekannten diese Tools und Anweisungen und wenn ich morgen - äh heute - eine Reaktion habe, mache ich hier weiter. Bis dahin alles Gute!

cosinus 20.01.2016 00:50
ja, ich kenn das...:D...admins sind immer bis spät in die Nacht wach. Der User schlummern und schlummern und merken es was wenn der Computer so doof ist :applaus:

mareb 20.01.2016 14:32
Hallo cosinus,

ich habe nun die Dateien FRST.txt und Addition.txt und habe mal reingeschaut. Ich habe zwar keine Ahnung mehr von Windows (es ist übrigens Windows 10), aber die Dateien hier einfach veröffentlichen - das empfinde ich dann doch als Datenschutzverletzung. Wie handhabt ihr das sonst hier? Kann man die als PM schicken?

cosinus 20.01.2016 14:51
Nein so wird da nix. Und Nachnamen lassen sich editieren. Einfach drei Sternchen aus dem Nachnamen machen.


Wobei ich eh nie verstanden habe warum manche in ihrem Heimcomputer zu Hause ihren vollen Vor und Nachnamen als login verwenden....

mareb 20.01.2016 16:52
Sorry, wenn das grad nervt.
Solche Keys wie

Code:
Apple Software Update
(HKLM-x32\...\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}) (Version:
2.1.3.127 - Apple Inc.)
Code:
Admin (S-1-5-21-3267059207-1855691176-3858515562-1001 - Administrator
- Enabled) => C:\Users\Admin
sind das nicht vielleicht Daten, mit denen man Mißbrauch treiben kann? Ehrlich, das weiß ich nicht.
Ich entferne derweil mal die Namen aus dem Dok.

Also, hab mal unter Windows 7 Registry Forensics: Part 3 gelesen.

Man sollte vielleicht nicht die ganzen Ausgaben des Programm öffentlich machen.

Allerdings habe ich auch gesehen, dass Du diese Daten alle brauchst, um mir überhaupt behilflich zu sein. Es geht ja wohl um bestimmte Signaturen der Schadsoftware.

Ok, hier FRST
Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:18-01-2016
durchgeführt von Admin (Administrator) auf ***** (20-01-2016 14:13:17)
Gestartet von C:\Users\Admin\Downloads
Geladene Profile: Admin (Verfügbare Profile: Admin)
Platform: Windows 10 Home (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Intel Corporation) C:\Windows\System32\igfxCUIService.exe
(Intel(R) Corporation) C:\Program Files\Intel\iCLS Client\HeciServer.exe
(ELAN Microelectronics Corp.) C:\Program Files\Elantech\ETDService.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\MsMpEng.exe
(TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\NisSrv.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\BrYNSvc.exe
(Acer Incorporated) C:\Program Files\Acer\Acer Power Management\ePowerSvc.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\Jhi_service.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
(Microsoft Corporation) C:\Windows\System32\wimserv.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\MpCmdRun.exe
(ELAN Microelectronics Corp.) C:\Program Files\Elantech\ETDCtrl.exe
(Intel Corporation) C:\Windows\System32\igfxEM.exe
(Intel Corporation) C:\Windows\System32\igfxHK.exe
() C:\Windows\System32\igfxTray.exe
(ELAN Microelectronics Corp.) C:\Program Files\Elantech\ETDCtrlHelper.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.11.266\SSScheduler.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe
(Acer Incorporated) C:\Program Files\Acer\Acer Power Management\ePowerTray.exe
(Intel Corporation) C:\Windows\System32\igfxext.exe
(Acer Incorporated) C:\Program Files\Acer\Acer Power Management\ePowerEvent.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Office\OFFICE11\WINWORD.EXE
(Microsoft Corporation) C:\Windows\splwow64.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13885696 2015-06-24] (Realtek Semiconductor)
HKLM\...\Run: [IgfxTray] => C:\Windows\system32\igfxtray.exe [415128 2015-10-14] ()
HKLM\...\Run: [ETDCtrl] => C:\Program Files\Elantech\ETDCtrl.exe [3242696 2015-10-10] (ELAN Microelectronics Corp.)
HKLM-x32\...\Run: [BrStsMon00] => C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe [3076096 2012-06-06] (Brother Industries, Ltd.)
HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-09-13] (Apple Inc.)
HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2014-10-02] (Apple Inc.)
HKLM\...\Policies\Explorer\Run: [BtvStack] => C:\Program Files (x86)\Qualcomm Atheros\Bluetooth Suite\BtvStack.exe
HKU\S-1-5-21-3267059207-1855691176-3858515562-1001\...\Run: [GarminExpressTrayApp] => C:\Program Files (x86)\Garmin\Express Tray\ExpressTray.exe [1403304 2015-10-29] (Garmin Ltd. or its subsidiaries)
HKU\S-1-5-18\...\Run: [GarminExpressTrayApp] => C:\Program Files (x86)\Garmin\Express Tray\ExpressTray.exe [1403304 2015-10-29] (Garmin Ltd. or its subsidiaries)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2015-12-21]
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.266\SSScheduler.exe (McAfee, Inc.)
GroupPolicy: Beschränkung - Chrome <======= ACHTUNG

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Hosts: 0.0.0.1        mssplus.mcafee.com
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{6c3d2d26-dd6a-4f62-acfd-eec45aafdeee}: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{a3a5ecbe-bc35-40a9-8277-59c01bb2cfec}: [DhcpNameServer] 192.168.2.1

Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-3267059207-1855691176-3858515562-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope Wert fehlt

FireFox:
========
FF ProfilePath: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\74b2eb1v.default
FF NewTab: chrome://unitedtb/content/newtab/newtab-page.xhtml
FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF64_20_0_0_267.dll [2015-12-29] ()
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.41212.0\npctrl.dll [2015-12-11] ( Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\WINDOWS\SysWOW64\Macromed\Flash\NPSWF32_20_0_0_267.dll [2015-12-29] ()
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=3.5.29 -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll [2013-05-08] (Intel Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll [2013-05-08] (Intel Corporation)
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.41212.0\npctrl.dll [2015-12-11] ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/OfficeLive,version=1.5 -> C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll [2010-04-26] (Microsoft Corp.)
FF Plugin-x32: @WildTangent.com/GamesAppPresenceDetector,Version=1.0 -> C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll [2012-10-12] ()
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2015-12-18] (Adobe Systems Inc.)
FF Extension: GMX MailCheck - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\74b2eb1v.default\extensions\mailcheck@gmx.net [2015-12-16]
FF Extension: Adblock Plus - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\74b2eb1v.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-01-19]
FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\74b2eb1v.default\extensions\shortcutff@gmail.com => nicht gefunden
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK => nicht gefunden

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 BrYNSvc; C:\Program Files (x86)\Browny02\BrYNSvc.exe [266240 2012-06-05] (Brother Industries, Ltd.) [Datei ist nicht signiert]
R3 ePowerSvc; C:\Program Files\Acer\Acer Power Management\ePowerSvc.exe [662088 2013-03-15] (Acer Incorporated)
R2 ETDService; C:\Program Files\Elantech\ETDService.exe [144072 2015-10-10] (ELAN Microelectronics Corp.)
S2 Garmin Device Interaction Service; C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe [777744 2015-10-29] (Garmin Ltd. or its subsidiaries)
R2 igfxCUIService2.0.0.0; C:\Windows\system32\igfxCUIService.exe [370064 2015-10-14] (Intel Corporation)
R2 Intel(R) Capability Licensing Service Interface; C:\Program Files\Intel\iCLS Client\HeciServer.exe [731648 2013-02-13] (Intel(R) Corporation) [Datei ist nicht signiert]
S3 Intel(R) Capability Licensing Service TCP IP Interface; C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [820184 2013-02-13] (Intel(R) Corporation)
R2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [169432 2013-05-08] (Intel Corporation)
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.11.266\McCHSvc.exe [289256 2015-12-02] (McAfee, Inc.)
S3 NOBU; C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe [4230016 2013-01-28] (Symantec Corporation)
R3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [362928 2015-07-10] (Microsoft Corporation)
R2 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [24864 2015-07-10] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 ccSet_NARA; C:\Windows\system32\drivers\NARAx64\0403000.00E\ccSetx64.sys [168608 2012-05-26] (Symantec Corporation)
S3 LMDriver; C:\Windows\System32\drivers\LMDriver.sys [21360 2013-01-10] (Acer Incorporated)
R3 MEIx64; C:\Windows\system32\DRIVERS\TeeDriverx64.sys [99288 2013-12-19] (Intel Corporation)
S3 RadioShim; C:\Windows\System32\drivers\RadioShim.sys [15704 2013-01-10] (Acer Incorporated)
S3 ssudserd; C:\Windows\system32\DRIVERS\ssudserd.sys [206080 2014-01-22] (DEVGURU Co., LTD.(www.devguru.co.kr))
S3 UdeCx; C:\Windows\System32\drivers\udecx.sys [44032 2015-07-10] ()
S0 WdBoot; C:\Windows\System32\drivers\WdBoot.sys [44568 2015-07-10] (Microsoft Corporation)
R0 WdFilter; C:\Windows\System32\drivers\WdFilter.sys [291680 2015-07-10] (Microsoft Corporation)
R2 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [119648 2015-07-10] (Microsoft Corporation)
S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-01-20 14:13 - 2016-01-20 14:14 - 00011072 _____ C:\Users\Admin\Downloads\FRST.txt
2016-01-20 14:12 - 2016-01-20 14:13 - 00000000 ____D C:\FRST
2016-01-20 14:10 - 2016-01-20 14:10 - 02370560 _____ (Farbar) C:\Users\Admin\Downloads\FRST64(2).exe
2016-01-20 14:08 - 2016-01-20 14:12 - 02370560 _____ (Farbar) C:\Users\Admin\Downloads\FRST64.exe
2016-01-20 14:08 - 2016-01-20 14:08 - 02370560 _____ (Farbar) C:\Users\Admin\Downloads\FRST64(1).exe
2016-01-20 13:54 - 2016-01-20 13:54 - 00016148 _____ C:\WINDOWS\system32\*****_Admin_HistoryPrediction.bin
2016-01-07 12:20 - 2016-01-13 11:46 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2016-01-04 18:28 - 2016-01-04 18:28 - 00074285 _____ C:\Users\Admin\Downloads\PFYD3_06_wi.inx
2016-01-04 17:51 - 2016-01-04 17:52 - 00066607 _____ C:\Users\Admin\Downloads\PFYDL_04_1b.inx
2015-12-21 23:56 - 2015-12-21 23:56 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2021-10-21 14:36 - 2013-11-04 15:14 - 00000852 _____ C:\WINDOWS\system32\Drivers\RTKHDRC.dat
2021-10-04 08:34 - 2013-11-04 15:14 - 00000712 _____ C:\WINDOWS\system32\Drivers\RTMICEQ0.dat
2016-01-20 14:12 - 2015-07-10 10:05 - 00000000 ____D C:\Windows
2016-01-20 13:50 - 2015-07-10 12:04 - 00000000 ___HD C:\Program Files\WindowsApps
2016-01-20 13:50 - 2015-07-10 12:04 - 00000000 ____D C:\WINDOWS\AppReadiness
2016-01-20 13:50 - 2015-01-17 12:54 - 00004152 _____ C:\WINDOWS\System32\Tasks\User_Feed_Synchronization-{BA40585A-C8C4-4A95-BB98-D88CA72D1754}
2016-01-20 13:46 - 2015-08-21 21:19 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2016-01-20 13:46 - 2015-01-06 23:33 - 00000000 __SHD C:\Users\Admin\IntelGraphicsProfiles
2016-01-19 22:13 - 2015-08-21 21:40 - 01790124 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2016-01-19 22:13 - 2015-07-10 17:34 - 00772342 _____ C:\WINDOWS\system32\perfh007.dat
2016-01-19 22:13 - 2015-07-10 17:34 - 00154170 _____ C:\WINDOWS\system32\perfc007.dat
2016-01-19 22:13 - 2015-07-10 12:02 - 00000000 ____D C:\WINDOWS\INF
2016-01-19 21:44 - 2014-03-31 22:06 - 00000884 _____ C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
2016-01-13 22:09 - 2015-08-21 22:13 - 00000000 ___DC C:\WINDOWS\Panther
2016-01-13 22:06 - 2015-10-30 20:27 - 00000000 ___HD C:\$WINDOWS.~BT
2016-01-13 19:02 - 2015-09-22 15:54 - 00002457 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2016-01-13 19:02 - 2014-12-23 23:25 - 00003972 _____ C:\WINDOWS\System32\Tasks\Adobe Acrobat Update Task
2016-01-13 12:31 - 2014-05-12 12:43 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight
2016-01-13 12:30 - 2014-05-12 12:42 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2016-01-13 12:30 - 2014-05-12 12:42 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2016-01-13 12:27 - 2015-07-10 11:55 - 00000000 ____D C:\WINDOWS\CbsTemp
2016-01-13 12:26 - 2014-03-30 12:12 - 00000000 ____D C:\WINDOWS\system32\MRT
2016-01-13 12:23 - 2014-03-30 12:12 - 143671360 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2016-01-13 11:47 - 2015-07-10 13:21 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2016-01-13 11:46 - 2015-07-10 13:20 - 00297944 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2016-01-13 11:46 - 2014-03-30 21:01 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2016-01-13 11:45 - 2015-07-10 10:05 - 00524288 ___SH C:\WINDOWS\system32\config\BBI
2016-01-11 15:19 - 2015-07-10 12:04 - 00000000 ____D C:\WINDOWS\system32\WinBioDatabase
2015-12-29 12:24 - 2015-07-10 12:04 - 00000000 ____D C:\WINDOWS\rescache
2015-12-28 00:17 - 2015-07-10 12:04 - 00000000 ____D C:\WINDOWS\system32\oobe
2015-12-26 09:58 - 2015-07-10 12:06 - 00826872 _____ (Adobe Systems Incorporated) C:\WINDOWS\SysWOW64\FlashPlayerApp.exe
2015-12-26 09:58 - 2015-07-10 12:06 - 00176632 _____ (Adobe Systems Incorporated) C:\WINDOWS\SysWOW64\FlashPlayerCPLApp.cpl
2015-12-21 23:56 - 2015-11-16 20:22 - 00000000 ____D C:\Program Files\McAfee Security Scan
2015-12-21 23:56 - 2015-09-22 15:55 - 00002013 _____ C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2014-04-14 22:43 - 2014-04-14 22:43 - 0000044 ____N () C:\Users\Admin\AppData\Roaming\WB.CFG
2015-03-22 22:40 - 2015-03-22 22:40 - 0004096 ____H () C:\Users\Admin\AppData\Local\keyfile3.drm
2014-04-13 22:28 - 2014-04-13 22:28 - 1097384 ____N (AnyProtect.com) C:\Users\Admin\AppData\Local\nsg7ED5.tmp
2015-08-21 21:19 - 2015-08-21 21:19 - 0000000 ____H () C:\ProgramData\DP45977C.lfl

Einige Dateien in TEMP:
====================
C:\Users\Admin\AppData\Local\Temp\epdpdrv6.dll
C:\Users\Admin\AppData\Local\Temp\epdpdui6.dll


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\WINDOWS\system32\winlogon.exe => Datei ist digital signiert
C:\WINDOWS\system32\wininit.exe => Datei ist digital signiert
C:\WINDOWS\explorer.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\explorer.exe => Datei ist digital signiert
C:\WINDOWS\system32\svchost.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\svchost.exe => Datei ist digital signiert
C:\WINDOWS\system32\services.exe => Datei ist digital signiert
C:\WINDOWS\system32\User32.dll => Datei ist digital signiert
C:\WINDOWS\SysWOW64\User32.dll => Datei ist digital signiert
C:\WINDOWS\system32\userinit.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\userinit.exe => Datei ist digital signiert
C:\WINDOWS\system32\rpcss.dll => Datei ist digital signiert
C:\WINDOWS\system32\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2016-01-12 14:25

==================== Ende von FRST.txt ============================
Und hier Addition:

Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:18-01-2016
durchgeführt von Admin (2016-01-20 14:15:03)
Gestartet von C:\Users\Admin\Downloads
Windows 10 Home (X64) (2015-08-21 20:50:41)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Admin (S-1-5-21-3267059207-1855691176-3858515562-1001 - Administrator - Enabled) => C:\Users\Admin
Administrator (S-1-5-21-3267059207-1855691176-3858515562-500 - Administrator - Disabled)
DefaultAccount (S-1-5-21-3267059207-1855691176-3858515562-503 - Limited - Disabled)
Gast (S-1-5-21-3267059207-1855691176-3858515562-501 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Acer Power Management (HKLM\...\{91F52DE4-B789-42B0-9311-A349F10E5479}) (Version: 7.00.3013 - Acer Incorporated)
Acer Recovery Management (HKLM\...\{07F2005A-8CAC-4A4B-83A2-DA98A722CA61}) (Version: 6.00.3016 - Acer Incorporated)
Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.010.20056 - Adobe Systems Incorporated)
Adobe Flash Player 20 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 20.0.0.267 - Adobe Systems Incorporated)
ANT Drivers Installer x64 (Version: 2.3.4 - Garmin Ltd or its subsidiaries) Hidden
Apple Application Support (HKLM-x32\...\{46F044A5-CE8B-4196-984E-5BD6525E361D}) (Version: 2.3.6 - Apple Inc.)
Apple Software Update (HKLM-x32\...\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}) (Version: 2.1.3.127 - Apple Inc.)
Broadcom Card Reader Driver Installer (HKLM\...\{67AA948F-8D83-4566-B84A-7CAABCF64E3F}) (Version: 16.0.2.3 - Broadcom Corporation)
Broadcom NetLink Controller (HKLM\...\{D1D7ED66-5C08-40A0-AEC0-B6DF977697BB}) (Version: 16.0.2.1 - Broadcom Corporation)
Dot4 (HKLM\...\{DD411225-A527-4C56-91BE-15D888B3CCDE}) (Version: 1.0.0.0 - HP)
ELAN Touchpad 11.15.0.18_X64 (HKLM\...\Elantech) (Version: 11.15.0.18 - ELAN Microelectronic Corp.)
Elevated Installer (x32 Version: 4.1.10.0 - Garmin Ltd or its subsidiaries) Hidden
Garmin Express (HKLM-x32\...\{b292f4e5-60ca-4bb8-8810-e5f908c3c1ff}) (Version: 4.1.10.0 - Garmin Ltd or its subsidiaries)
Garmin Express (x32 Version: 4.1.10.0 - Garmin Ltd or its subsidiaries) Hidden
Garmin Express Tray (x32 Version: 4.1.10.0 - Garmin Ltd or its subsidiaries) Hidden
HL-2130 (HKLM-x32\...\{E2A97415-BD97-4867-B906-05E39E9EE51F}) (Version: 1.1.6.0 - Brother Industries, Ltd.)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 10.18.15.4248 - Intel Corporation)
McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.11.266.3 - McAfee, Inc.)
Microsoft Office File Validation Add-In (HKLM-x32\...\{90140000-2005-0000-0000-0000000FF1CE}) (Version: 14.0.5130.5003 - Microsoft Corporation)
Microsoft Office Live Add-in 1.5 (HKLM-x32\...\{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}) (Version: 2.0.4024.1 - Microsoft Corporation)
Microsoft Office Professional Edition 2003 (HKLM-x32\...\{90110407-6000-11D3-8CFE-0150048383C9}) (Version: 11.0.8173.0 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.41212.0 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 (HKLM\...\{8220EEFE-38CD-377E-8595-13398D740ACE}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Mozilla Firefox 43.0.4 (x86 de) (HKLM-x32\...\Mozilla Firefox 43.0.4 (x86 de)) (Version: 43.0.4 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 43.0.4.5848 - Mozilla)
PDFCreator (HKLM\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 2.1.2 - pdfforge)
Personal Backup 5.6 (HKLM-x32\...\Personal Backup 5_is1) (Version: 5.6.4.0 - Dr. J. Rathlev)
Qualcomm Atheros Bluetooth Suite (64) (HKLM\...\{A84A4FB1-D703-48DB-89E0-68B6499D2801}) (Version: 8.0.1.305 - Qualcomm Atheros Communications)
QuickTime 7 (HKLM-x32\...\{3D2CBC2C-65D4-4463-87AB-BB2C859C1F3E}) (Version: 7.76.80.95 - Apple Inc.)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7535 - Realtek Semiconductor Corp.)
RestaurantExpress (C:\Program Files (x86)\RestaurantExpress\) #3 (HKLM-x32\...\ST6UNST #3) (Version:  - )
RestaurantExpress (C:\Program Files (x86)\RestaurantExpress\) #4 (HKLM-x32\...\ST6UNST #4) (Version:  - )
RestaurantExpress (C:\Program Files (x86)\RestaurantExpress\) #5 (HKLM-x32\...\ST6UNST #5) (Version:  - )
RestaurantExpress (C:\Program Files (x86)\RestaurantExpress\) (HKLM-x32\...\ST6UNST #2) (Version:  - )
RestaurantExpress (HKLM-x32\...\ST6UNST #1) (Version:  - )
Shared C Run-time for x64 (HKLM\...\{EF79C448-6946-4D71-8134-03407888C054}) (Version: 10.0.0 - McAfee)
sv.net (HKLM-x32\...\sv.net) (Version: 15.0 - ITSG GmbH)
Windows-Treiberpaket - Dynastream Innovations, Inc. ANT LibUSB Drivers (04/11/2012 1.2.40.201) (HKLM\...\F9D2A789F9CFF8CEC36B544F53877C80F1F73C46) (Version: 04/11/2012 1.2.40.201 - Dynastream Innovations, Inc.)
Windows-Treiberpaket - Silicon Labs Software (DSI_SiUSBXp_3_1) USB  (02/06/2007 3.1) (HKLM\...\D1506E0025B5A3F9EB8270FE81C1EEDD9388B8A2) (Version: 02/06/2007 3.1 - Silicon Labs Software)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

CustomCLSID: HKU\S-1-5-21-3267059207-1855691176-3858515562-1001_Classes\CLSID\{71DCE5D6-4B57-496B-AC21-CD5B54EB93FD}\localserver32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileCoAuth.exe (Microsoft Corporation)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {020C18A4-0C43-480D-9254-1C209FC1DC62} - System32\Tasks\Norton Online Backup ARA => C:\Program Files (x86)\Norton Online Backup ARA\Engine\4.3.0.14\\Ara.exe [2013-08-27] (Symantec Corporation)
Task: {04742201-330B-4C44-966A-2E4881207EF5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
Task: {0DB43AAA-2F61-4A3E-A693-FC6689D54124} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
Task: {168F2AF3-AA1F-45A0-A6DD-1F934F068106} - \0646f96d-e73e-48bf-9ca9-58255af83235-1 -> Keine Datei <==== ACHTUNG
Task: {2E05A4C0-7DD9-44B6-BDA7-55A5F811260E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei <==== ACHTUNG
Task: {33D19136-1A92-40A3-A0C0-B5BE3E3BF576} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei <==== ACHTUNG
Task: {376D946E-223D-4CAD-9E08-14AD907494F1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
Task: {3C25971B-5A71-4382-861F-24A457FD8776} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
Task: {45CE2CA2-D397-408F-AE44-F47E92C53F74} - \LaunchApp -> Keine Datei <==== ACHTUNG
Task: {58F2ECF1-BE5E-45AA-9925-FCB85C5F73B3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei <==== ACHTUNG
Task: {5CBAFA2D-A51F-49D0-BB14-0F465A039E1F} - \3d8c097a-d75d-43d1-aa88-eb4ad99df514-5 -> Keine Datei <==== ACHTUNG
Task: {5E0A843C-ECBA-43AF-9AF0-27A91C053DF5} - \Re-markit_wd -> Keine Datei <==== ACHTUNG
Task: {5E1D7411-AB6D-4AEC-935E-564340C78160} - \0646f96d-e73e-48bf-9ca9-58255af83235-3 -> Keine Datei <==== ACHTUNG
Task: {65ADC2E5-D6F1-4F9A-8C0F-8CF484B57054} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei <==== ACHTUNG
Task: {67883F6E-DA73-4A58-8797-3B02D9398222} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\WINDOWS\system32\MRT.exe [2016-01-13] (Microsoft Corporation)
Task: {67CC9F21-A381-4574-9DA3-C9AE711BC0E1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG
Task: {6BBAE77B-43B3-4EE2-81DA-301298F400EC} - \3d8c097a-d75d-43d1-aa88-eb4ad99df514-4 -> Keine Datei <==== ACHTUNG
Task: {80472701-CCBA-40D9-B892-BA0067339ECB} - \3d8c097a-d75d-43d1-aa88-eb4ad99df514-3 -> Keine Datei <==== ACHTUNG
Task: {84AC2FA2-0E99-4EEA-85D7-C1D7469CB75B} - \0646f96d-e73e-48bf-9ca9-58255af83235-4 -> Keine Datei <==== ACHTUNG
Task: {85F87504-40BA-4BEC-B7AF-17A42FED92E7} - \MySearchDial -> Keine Datei <==== ACHTUNG
Task: {86C7E693-378A-4F29-94F1-1BFA1A863637} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-12-13] (Adobe Systems Incorporated)
Task: {91C5177C-8593-48A7-824A-A7889826B58C} - \3d8c097a-d75d-43d1-aa88-eb4ad99df514-1 -> Keine Datei <==== ACHTUNG
Task: {9B3FD2A5-BD72-417D-8E7B-F54B1077E394} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Keine Datei <==== ACHTUNG
Task: {9F1E0444-49C5-4429-882D-2898FBA71F1A} - \0646f96d-e73e-48bf-9ca9-58255af83235-2 -> Keine Datei <==== ACHTUNG
Task: {A20B2CAE-96B0-4388-B8C9-A8AC43E1FEAA} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
Task: {A977F4C9-3334-4C39-B54B-7E8E8E7DF89B} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe
Task: {CD7367CA-9455-4DB1-931D-362F62ECF24A} - \0646f96d-e73e-48bf-9ca9-58255af83235-5 -> Keine Datei <==== ACHTUNG
Task: {DB914D3F-0ADE-4E9E-AA0A-9E56A9C9C91C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei <==== ACHTUNG
Task: {DBB65836-06CA-4BC4-A6A8-E908B40D7C26} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-12-29] (Adobe Systems Incorporated)
Task: {DC3E49A4-075C-4BF3-9AA0-DE85C9664AB2} - System32\Tasks\Power Management => C:\Program Files\Acer\Acer Power Management\ePowerTray.exe [2013-03-15] (Acer Incorporated)
Task: {DEC43EFC-D478-401D-B37D-7007E425EB67} - \Re-markit Update -> Keine Datei <==== ACHTUNG
Task: {E1C0F4F7-937F-45A6-BEF0-E0CFB7F881EF} - System32\Tasks\GarminUpdaterTask => C:\Program Files (x86)\Garmin\Express SelfUpdater\ExpressSelfUpdater.exe [2015-10-29] ()
Task: {F2AC8EC7-0AB7-4A8B-B1A7-B3C689D29A56} - \3d8c097a-d75d-43d1-aa88-eb4ad99df514-2 -> Keine Datei <==== ACHTUNG

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\WINDOWS\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2015-08-21 22:08 - 2015-08-21 22:08 - 00032768 _____ () C:\WINDOWS\SYSTEM32\licensemanagerapi.dll
2015-08-21 22:09 - 2015-08-21 22:09 - 00404480 _____ () C:\WINDOWS\System32\diagtrack_wininternal.dll
2015-10-01 20:13 - 2015-09-17 07:48 - 02494712 _____ () C:\WINDOWS\system32\CoreUIComponents.dll
2015-10-01 20:13 - 2015-09-17 07:48 - 02494712 _____ () C:\WINDOWS\System32\CoreUIComponents.dll
2015-07-17 23:35 - 2015-10-14 18:52 - 00415128 _____ () C:\WINDOWS\system32\igfxTray.exe
2015-10-01 20:13 - 2015-09-17 06:48 - 00429056 _____ () C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\QuickActions.dll
2015-07-10 11:59 - 2015-07-10 11:59 - 00143360 _____ () C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\XamlTileRendering.dll
2015-12-08 23:16 - 2015-11-25 05:20 - 06569472 _____ () C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CortanaApi.dll
2015-12-08 23:15 - 2015-11-25 05:17 - 00471040 _____ () C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Core.dll
2015-12-08 23:15 - 2015-11-25 05:17 - 01808384 _____ () C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.BackgroundTask.dll
2015-10-01 20:13 - 2015-09-17 06:43 - 02274816 _____ () C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersUI.dll
2015-07-10 12:00 - 2015-07-10 17:45 - 00210432 _____ () C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CortanaApi.ProxyStub.dll
2014-11-09 13:41 - 2009-02-27 16:38 - 00139264 ____R () C:\Program Files (x86)\Brother\BrUtilities\BrLogAPI.dll
2013-11-04 15:08 - 2013-05-08 21:23 - 01199576 _____ () C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\ACE.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2013-08-22 14:25 - 2015-12-21 23:56 - 00000858 ____A C:\WINDOWS\system32\Drivers\etc\hosts

0.0.0.1        mssplus.mcafee.com

==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-3267059207-1855691176-3858515562-1001\Control Panel\Desktop\\Wallpaper ->
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKLM\...\StartupApproved\Run32: => "Adobe ARM"
HKLM\...\StartupApproved\Run32: => "QuickTime Task"

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [vm-monitoring-nb-session] => (Allow) LPort=139
FirewallRules: [UDP Query User{F3912B51-A912-4CB2-ABDE-9D18D65FF276}C:\program files (x86)\mozilla firefox\firefox.exe] => (Block) C:\program files (x86)\mozilla firefox\firefox.exe
FirewallRules: [TCP Query User{0602CE10-A246-415B-A402-7A8E0842A136}C:\program files (x86)\mozilla firefox\firefox.exe] => (Block) C:\program files (x86)\mozilla firefox\firefox.exe
FirewallRules: [{2529EAE3-E7AA-4EAF-A2F8-C32988B66B08}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{443EBCDD-7E82-4F10-BA16-3017B8F99E20}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{3BBE5FB6-9CD5-4A14-A83A-BD98FD48F40A}] => (Allow) C:\Program Files (x86)\Common Files\Apple\Apple Application Support\WebKit2WebProcess.exe
FirewallRules: [{BB8DF291-466C-48C9-8D7E-C03F42159DE8}] => (Allow) C:\Program Files (x86)\Nero\Nero 12\Nero BackItUp\BackItUp.exe
FirewallRules: [{0439C5C4-6C55-46D7-BD51-DE35DA1B1F72}] => (Allow) C:\Program Files (x86)\Nero\Nero 12\Nero BackItUp\BackItUp.exe
FirewallRules: [{36D1D188-D983-4F50-A802-D771A6C1A52C}] => (Allow) C:\Program Files (x86)\Spotify\spotify.exe
FirewallRules: [{F6B1BA89-553A-4469-9BBA-EE8D5C499F80}] => (Allow) C:\Program Files (x86)\Spotify\spotify.exe
FirewallRules: [{C8B84C1D-4C34-4175-8EDC-82FE0E21D01B}] => (Allow) C:\Program Files (x86)\Spotify\Data\SpotifyWebHelper.exe
FirewallRules: [{D3812A9C-0442-4C01-8F45-B16AFC5B8FBF}] => (Allow) C:\Program Files (x86)\Spotify\Data\SpotifyWebHelper.exe
FirewallRules: [{AB33EFCA-3A7D-41D0-87FB-4D6C0B925175}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer.exe
FirewallRules: [{579B69F0-12CA-442E-8662-4FAF9AE5F0DD}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer.exe
FirewallRules: [{F6CFB5DD-4555-4660-A8D8-165DA49082D1}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe
FirewallRules: [{6CECD9F7-CEC0-47AF-AF8F-317D70AAA10C}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe
FirewallRules: [{2C02156F-AF41-4EF1-BE2F-F211760172B5}] => (Allow) C:\Users\Admin\Downloads\VideoPerformerSetup(1).exe
FirewallRules: [{D92271C5-CCE8-4A15-BB73-FDB320405052}] => (Allow) C:\Users\Admin\Downloads\VideoPerformerSetup(1).exe
FirewallRules: [{0F48C3A9-BDBB-481F-AB6B-D9CBFF78C6E4}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{9D6949A9-FBF5-433F-9B09-13199D2B6DBE}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

==================== Wiederherstellungspunkte =========================

31-12-2015 21:32:33 Windows Update
08-01-2016 09:19:50 Geplanter Prüfpunkt
13-01-2016 12:23:16 Windows Update

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (01/19/2016 10:35:56 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 5973) (User: ****)
Description: Bei der Aktivierung der App „Microsoft.Windows.Cortana_cw5n1h2txyewy!CortanaUI“ ist folgender Fehler aufgetreten: -2144927141. Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Error: (01/19/2016 10:25:01 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 5973) (User: *****)
Description: Bei der Aktivierung der App „Microsoft.Windows.Cortana_cw5n1h2txyewy!CortanaUI“ ist folgender Fehler aufgetreten: -2144927141. Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Error: (01/19/2016 10:25:01 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 5973) (User: *****)
Description: Bei der Aktivierung der App „Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy!App“ ist folgender Fehler aufgetreten: -2144927141. Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Error: (01/19/2016 10:21:20 PM) (Source: SideBySide) (EventID: 78) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.10240.16384_none_f41f7b285750ef43.manifest1". Fehler in Manifest- oder Richtliniendatei "C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.10240.16384_none_f41f7b285750ef43.manifest2" in Zeile C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.10240.16384_none_f41f7b285750ef43.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.10240.16384_none_f41f7b285750ef43.manifest.
Komponente 2: C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.10240.16384_none_3bccb1ff6bcd1849.manifest.

Error: (01/19/2016 09:52:07 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 5973) (User: *****)
Description: Bei der Aktivierung der App „Microsoft.Windows.Cortana_cw5n1h2txyewy!CortanaUI“ ist folgender Fehler aufgetreten: -2144927141. Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Error: (01/19/2016 07:57:01 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm ShellExperienceHost.exe, Version 10.0.10240.16515 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Systemsteuerung "Sicherheit und Wartung", um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: 1830

Startzeit: 01d152b3d7d541c3

Beendigungszeit: 4294967295

Anwendungspfad: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe

Berichts-ID: 6ab8a0ca-bede-11e5-bf65-a4db30b191c4

Vollständiger Name des fehlerhaften Pakets: Microsoft.Windows.ShellExperienceHost_10.0.10240.16384_neutral_neutral_cw5n1h2txyewy

Auf das fehlerhafte Paket bezogene Anwendungs-ID: App

Error: (01/19/2016 07:56:59 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 2484) (User: *****)
Description: Das Paket „Microsoft.Windows.ShellExperienceHost_10.0.10240.16384_neutral_neutral_cw5n1h2txyewy+App“ wurde beendet, da das Anhalten zu lange dauerte.

Error: (01/19/2016 12:17:44 AM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 5973) (User: *****)
Description: Bei der Aktivierung der App „Microsoft.Windows.Cortana_cw5n1h2txyewy!CortanaUI“ ist folgender Fehler aufgetreten: -2144927141. Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Error: (01/18/2016 04:37:38 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 5973) (User: *****)
Description: Bei der Aktivierung der App „Microsoft.Windows.Cortana_cw5n1h2txyewy!CortanaUI“ ist folgender Fehler aufgetreten: -2144927141. Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Error: (01/18/2016 12:55:48 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 5973) (User: *****)
Description: Bei der Aktivierung der App „Microsoft.Windows.Cortana_cw5n1h2txyewy!CortanaUI“ ist folgender Fehler aufgetreten: -2144927141. Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.


Systemfehler:
=============
Error: (01/19/2016 10:35:56 PM) (Source: DCOM) (EventID: 10010) (User: ****)
Description: CortanaUI.AppXd4tad4d57t4wtdbnnmb8v2xtzym8c1n8.mca

Error: (01/19/2016 10:35:55 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Synchronisierungshost_Session14" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 10000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (01/19/2016 10:25:01 PM) (Source: DCOM) (EventID: 10010) (User: *****)
Description: CortanaUI.AppXd4tad4d57t4wtdbnnmb8v2xtzym8c1n8.mca

Error: (01/19/2016 10:25:01 PM) (Source: DCOM) (EventID: 10010) (User: *****)
Description: App.AppXw3qcpc7p849541dp39vvqd01bn7z9ybh.mca

Error: (01/19/2016 10:24:59 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Synchronisierungshost_Session13" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 10000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (01/19/2016 09:52:07 PM) (Source: DCOM) (EventID: 10010) (User: *****)
Description: CortanaUI.AppXd4tad4d57t4wtdbnnmb8v2xtzym8c1n8.mca

Error: (01/19/2016 09:52:06 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Synchronisierungshost_Session12" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 10000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (01/19/2016 12:17:44 AM) (Source: DCOM) (EventID: 10010) (User: *****)
Description: CortanaUI.AppXd4tad4d57t4wtdbnnmb8v2xtzym8c1n8.mca

Error: (01/19/2016 12:17:42 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Synchronisierungshost_Session11" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 10000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (01/18/2016 04:37:38 PM) (Source: DCOM) (EventID: 10010) (User: *****)
Description: CortanaUI.AppXd4tad4d57t4wtdbnnmb8v2xtzym8c1n8.mca


CodeIntegrity:
===================================
  Date: 2016-01-18 19:09:18.438
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-18 19:09:18.413
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-18 19:09:07.146
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-18 19:09:07.067
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-17 21:32:05.151
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-17 21:32:05.023
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-17 21:31:47.486
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-17 21:31:46.202
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-15 20:26:14.486
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-15 20:26:14.466
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.


==================== Speicherinformationen ===========================

Prozessor: Intel(R) Core(TM) i3-4010U CPU @ 1.70GHz
Prozentuale Nutzung des RAM: 26%
Installierter physikalischer RAM: 8072.27 MB
Verfügbarer physikalischer RAM: 5900.81 MB
Summe virtueller Speicher: 9352.27 MB
Verfügbarer virtueller Speicher: 7131.73 MB

==================== Laufwerke ================================

Drive c: (Acer) (Fixed) (Total:448.75 GB) (Free:403.35 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (Size: 465.8 GB) (Disk ID: 868740B3)

Partition: GPT.

==================== Ende von Addition.txt ============================
Vielen Dank schon mal fürs rauf schauen.

cosinus 20.01.2016 23:12
Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

mareb 20.01.2016 23:25
Ok, vielen Dank!
Dann hat sich der Aufwand ja gelohnt, auch wenn wir nichts davon haben :dankeschoen:

Wenn ich das Ergebnis habe, melde ich mich wieder.

cosinus 20.01.2016 23:51
Dein Dankeschön ist etwas zu voreilig, aber danke für dein Danke :blabla:

mareb 20.01.2016 23:53
Zitat:
Zitat von cosinus (Beitrag 1555073)
Dein Dankeschön ist etwas zu voreilig, aber danke für dein Danke :blabla:
Oh nein, ich habe mich für Deine Zeit bedankt!

cosinus 21.01.2016 00:03
Zitat:
Zitat von mareb (Beitrag 1555074)
Oh nein, ich habe mich für Deine Zeit bedankt!
Das macht niemand bevor das Problem behoben ist du kleiner Schleimer :blabla:

mareb 21.01.2016 00:09
Zitat:
Zitat von cosinus (Beitrag 1555076)
Das macht niemand bevor das Problem behoben ist du kleiner Schleimer :blabla:
:party: Nee, nix Schleimer. Das ist meine normale Höflichkeit. Wie oft haben wir mit Problemen zu tun, die andere verursacht haben und ein Dankeschön ist da leider nicht selbstverständlich. Manchmal gibt es auch ein "Na endlich!".

Schwamm drüber, weiter machen...

cosinus 21.01.2016 00:15
Das "na endlich" wäre wenigstens ehrlich :D

mareb 22.01.2016 00:32
Hallo,
MBAR meldet einen Glückwunsch, dass keine Malware gefunden wurde.
Ich dachte, Du hattest anhand der Ausgaben von FRST ein Problem entdeckt. Nun, bedeutet die MBAR Meldung dass also doch nix drauf ist oder war MBAR nicht gut genug?

cosinus 22.01.2016 00:36
MBAR ist eine reine Vorsichtsmaßnahme um etwaigen "schlimmen" Befall zu erkennen. Man sollte immer bei grob/ganz schlimm anfangen, zum Ende nur Junkware/Adware entfernen, also eher kosmetische Eingriffe und zum Schluss Allclean und Absicherung.

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!

1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).




2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.




3. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


mareb 22.01.2016 23:20
Hallo,
beim Versuch, JRT zu starten, kommt die Fehlermeldung, dass eine "unbekannte App" das öffnen verhindert. Er kann dann nur "Nicht ausführen" anklicken.
Was tun?

cosinus 23.01.2016 12:57
Rechtsklick auf JRT => als Admin ausführen

mareb 23.01.2016 18:36
Zitat:
Zitat von cosinus (Beitrag 1555867)
Rechtsklick auf JRT => als Admin ausführen
Der Bekannte sagt, das hätte er getan. Kann das sein?

Nachtrag: der Gute konnte wohl nicht lesen. Er versucht es nachher nochmal ohne Doppelklick.

cosinus 23.01.2016 18:57
soll er mal machen :blabla:

mareb 23.01.2016 22:37
Hallo,
also, er meint, die Meldung kommt auch, wenn er es mit Rechtsklick als Administrator ausführt.

cosinus 24.01.2016 15:30
SmartScreen ausschalten! => Deaktivieren der SmartScreen-Filtereinstellungen, die bei der Installation von Windows empfohlen wurden - Windows-Hilfe


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131