GVU sehr hartnäckig

waldhueter · 30.05.2013, 14:56

Hallo liebe Leute, auch ich sitze heute an einem Rechner, welcher seit gestern abend den GVU / U-Cash Bildschirm zeigt.

Ich kann mich im Windows XP noch unter einem anderen Benutzernamen anmelden, dort funktioniert alles tadellos. In den abgesicherten Modus komme ich allerdings nicht herein, da er mir dort die Zugangspasswörter nicht abnimmt?

Ich habe bereits versucht, ihn mittels des Kaspersky windowsunlocker zu entfernen sowie mittels kickstarter. der Kickstarter hatte auch funde gemeldet, welche ich entfernt habe. Aber es brachte leider keinen Erfolg.

Darauf hin habe ich euer Forum gefunden und hoffe, dass Ihr mir jetzt helfen könnt.

Die beiden Logs von OTL habe ich bereits angehangen.

aharonov · 30.05.2013, 15:41

Hallo waldhueter und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eins vorneweg: Ich kann dir keine Garantien geben, dass ich alles finden werde. Bei schwerwiegenden Infektionen ist ein Formatieren und Neuinstallieren meist der schnellere und immer der sicherere Weg.
Wenn du dich für eine Bereinigung entscheidest, dann sollten wir gründlich vorgehen. Bleib also dran, bis ich dir eindeutig mitteile, dass wir fertig sind.
Auch wenn die auffälligen Symptome schon früh verschwinden, bedeutet das nicht, dass dein Rechner dann schon sauber und sicher ist.

Hinweise zum Ablauf

Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
- Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
- Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles erst zum Schluss gesammelt in einer Antwort.
- Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
- Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.

Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert:
- Lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
- Installiere oder deinstalliere während der Bereinigung keine Software.

Los geht's:

Mach bitte im noch funktionierenden Benutzerkonto folgenden Scan:

Schritt 1

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

ATTFilter

C:\2433f433 /s
C:\Dokumente und Einstellungen\*.exe /s
C:\Dokumente und Einstellungen\*.dll /s

Schliesse bitte alle anderen Programme.
Klicke nun auf None (deutsch "Nichts") und danach auf den Scan Button.
Kopiere danach den Inhalt der OTL.txt hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

Log von OTL

waldhueter · 31.05.2013, 10:25

hallo Leo,

vielen lieben Dank für deine Unterstützung.
anbei habe ich jetzt den Log für dich.

Code:

ATTFilter

OTL logfile created on: 31.05.2013 10:12:23 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = G:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,27 Gb Available Physical Memory | 63,75% Memory free
3,85 Gb Paging File | 3,26 Gb Available in Paging File | 84,70% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 200,09 Gb Total Space | 176,05 Gb Free Space | 87,98% Space Free | Partition Type: NTFS
Drive D: | 353,74 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF
Drive E: | 265,67 Gb Total Space | 265,59 Gb Free Space | 99,97% Space Free | Partition Type: NTFS
Drive F: | 380,35 Gb Total Space | 107,20 Gb Free Space | 28,19% Space Free | Partition Type: NTFS
Drive G: | 1,86 Gb Total Space | 1,84 Gb Free Space | 99,01% Space Free | Partition Type: FAT32
Drive R: | 380,35 Gb Total Space | 107,20 Gb Free Space | 28,19% Space Free | Partition Type: NTFS
 
Computer Name: HR_WAHL_2009 | User Name: admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Custom Scans ==========
 
< C:\2433f433 /s >
[2013.05.29 18:37:08 | 000,163,018 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433
[2013.05.29 18:37:08 | 000,163,053 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\2433f433
[2013.05.29 18:37:08 | 000,163,026 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Anwendungsdaten\2433f433
[2013.05.29 18:37:08 | 000,163,020 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Vorlagen\2433f433
 
< C:\Dokumente und Einstellungen\*.exe /s >
[2013.05.30 16:29:18 | 009,159,136 | ---- | M] (SurfRight B.V.) -- C:\Dokumente und Einstellungen\admin\Eigene Dateien\Downloads\hitmanpro.exe
[2013.05.31 10:10:35 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\admin\Eigene Dateien\Downloads\OTL.exe
[2013.05.30 16:32:12 | 009,818,384 | ---- | M] (SurfRight B.V.) -- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\HitmanPro_x64.exe
[2013.05.30 16:32:06 | 000,143,640 | ---- | M] (SurfRight B.V.) -- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\Kickstarter.exe
[2013.05.30 10:09:09 | 021,120,824 | ---- | M] (Mozilla) -- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SH0UUELP\Firefox%20Setup%2021.0[1].exe
[2013.05.30 09:49:35 | 010,285,040 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZAAAT8U2\mbam-setup-1.75.0.1300[1].exe
[2010.09.21 20:37:40 | 000,338,856 | ---- | M] (Adobe Systems Incorporated) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe\Reader\8.2\ARM\15753\AcrobatUpdater.exe
[2010.09.21 20:37:40 | 000,932,288 | ---- | M] (Adobe Systems Incorporated) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe\Reader\8.2\ARM\15753\AdobeARM.exe
[2010.09.21 20:37:40 | 000,338,856 | ---- | M] (Adobe Systems Incorporated) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe\Reader\8.2\ARM\15753\ReaderUpdater.exe
[2009.07.22 13:13:28 | 003,775,175 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
[2009.01.19 12:51:34 | 016,899,288 | ---- | M] (Netopsystems Ltd.                            ) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\Common Framework\Current\VIRUSCAN8600\Install\0000\setup.exe
[2011.10.28 03:00:47 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RGB150JL\dotnetfx35setup[1].exe
[2009.04.09 13:32:40 | 000,089,088 | ---- | M] (AD ON Multimedia Advertising GmbH) -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\Desktopicon\eBayShortcuts.exe
[2011.08.01 10:51:39 | 001,907,736 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Desktop\Backnet Ferndwartung.exe
[2011.07.26 12:32:05 | 000,977,488 | ---- | M] (pcvisit software ag) -- C:\Dokumente und Einstellungen\wahl2\Desktop\gast.exe
[2012.07.25 14:39:33 | 064,814,683 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Desktop\setup.exe
[2012.02.16 11:46:41 | 000,004,608 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\i4jdel0.exe
[17 C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\*.tmp files -> C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\*.tmp -> ]
[2012.04.20 12:12:19 | 014,902,495 | ---- | M] (                                                            ) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\ctd\setup.exe
[2009.05.13 14:59:58 | 006,615,707 | ---- | M] (                                                            ) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\ctd\Install_GPSDataViewer\GpsDataViewerSetup.exe
 
< C:\Dokumente und Einstellungen\*.dll /s >
[2013.05.30 11:26:37 | 000,637,952 | ---- | M] (Bitdefender LLC) -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\oi6d1qmj.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
[2010.09.21 20:37:40 | 000,070,584 | ---- | M] (Adobe Systems Incorporated) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe\Reader\8.2\ARM\15753\AdobeExtractFiles.dll
[2008.05.19 14:04:06 | 002,368,000 | ---- | M] (Doctor Web, Ltd.) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero\DrWeb\Drweb32.dll
[2012.11.24 19:07:06 | 008,154,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32038\hxxxdecoder.dll
[2012.11.24 19:07:05 | 000,033,792 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32038\image101.dll
[2012.11.24 19:07:05 | 000,159,744 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32038\jpeg_ms.dll
[2012.11.24 19:07:05 | 000,421,200 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32038\msvcp100.dll
[2012.11.24 19:07:05 | 000,770,384 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32038\msvcr100.dll
[2012.11.24 19:07:05 | 002,010,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32038\opencv_core220.dll
[2012.11.24 19:07:05 | 001,242,112 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32038\opencv_imgproc220.dll
[2012.11.24 19:07:05 | 001,304,576 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32038\panogenics32.dll
[2012.11.11 17:54:17 | 008,154,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32079\hxxxdecoder.dll
[2012.11.11 17:54:16 | 000,033,792 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32079\image101.dll
[2012.11.11 17:54:16 | 000,159,744 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32079\jpeg_ms.dll
[2012.11.11 17:54:16 | 000,421,200 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32079\msvcp100.dll
[2012.11.11 17:54:16 | 000,770,384 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32079\msvcr100.dll
[2012.11.11 17:54:16 | 002,010,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32079\opencv_core220.dll
[2012.11.11 17:54:16 | 001,242,112 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32079\opencv_imgproc220.dll
[2012.11.11 17:54:17 | 001,304,576 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32079\panogenics32.dll
[2012.08.17 10:32:16 | 008,154,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32086\hxxxdecoder.dll
[2012.08.17 10:32:15 | 000,033,792 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32086\image101.dll
[2012.08.17 10:32:15 | 000,159,744 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32086\jpeg_ms.dll
[2012.08.17 10:32:15 | 000,421,200 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32086\msvcp100.dll
[2012.08.17 10:32:15 | 000,770,384 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32086\msvcr100.dll
[2012.08.17 10:32:15 | 002,010,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32086\opencv_core220.dll
[2012.08.17 10:32:15 | 001,242,112 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32086\opencv_imgproc220.dll
[2012.08.17 10:32:15 | 001,304,576 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32086\panogenics32.dll
[2012.10.05 16:57:30 | 008,154,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32088\hxxxdecoder.dll
[2012.10.05 16:57:29 | 000,033,792 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32088\image101.dll
[2012.10.05 16:57:29 | 000,159,744 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32088\jpeg_ms.dll
[2012.10.05 16:57:29 | 000,421,200 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32088\msvcp100.dll
[2012.10.05 16:57:29 | 000,770,384 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32088\msvcr100.dll
[2012.10.05 16:57:29 | 002,010,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32088\opencv_core220.dll
[2012.10.05 16:57:29 | 001,242,112 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32088\opencv_imgproc220.dll
[2012.10.05 16:57:29 | 001,304,576 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32088\panogenics32.dll
[2012.08.21 07:44:36 | 008,154,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32128\hxxxdecoder.dll
[2012.08.21 07:44:36 | 000,033,792 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32128\image101.dll
[2012.08.21 07:44:36 | 000,159,744 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32128\jpeg_ms.dll
[2012.08.21 07:44:36 | 000,421,200 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32128\msvcp100.dll
[2012.08.21 07:44:36 | 000,770,384 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32128\msvcr100.dll
[2012.08.21 07:44:36 | 002,010,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32128\opencv_core220.dll
[2012.08.21 07:44:36 | 001,242,112 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32128\opencv_imgproc220.dll
[2012.08.21 07:44:36 | 001,304,576 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32128\panogenics32.dll
[2012.09.16 12:12:18 | 008,154,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32173\hxxxdecoder.dll
[2012.09.16 12:12:18 | 000,033,792 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32173\image101.dll
[2012.09.16 12:12:18 | 000,159,744 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32173\jpeg_ms.dll
[2012.09.16 12:12:18 | 000,421,200 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32173\msvcp100.dll
[2012.09.16 12:12:18 | 000,770,384 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32173\msvcr100.dll
[2012.09.16 12:12:18 | 002,010,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32173\opencv_core220.dll
[2012.09.16 12:12:18 | 001,242,112 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32173\opencv_imgproc220.dll
[2012.09.16 12:12:18 | 001,304,576 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32173\panogenics32.dll
[2012.08.26 11:10:54 | 008,154,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32188\hxxxdecoder.dll
[2012.08.26 11:10:53 | 000,033,792 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32188\image101.dll
[2012.08.26 11:10:54 | 000,159,744 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32188\jpeg_ms.dll
[2012.08.26 11:10:53 | 000,421,200 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32188\msvcp100.dll
[2012.08.26 11:10:53 | 000,770,384 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32188\msvcr100.dll
[2012.08.26 11:10:53 | 002,010,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32188\opencv_core220.dll
[2012.08.26 11:10:54 | 001,242,112 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32188\opencv_imgproc220.dll
[2012.08.26 11:10:54 | 001,304,576 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32188\panogenics32.dll
[2012.08.27 19:59:00 | 008,154,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32192\hxxxdecoder.dll
[2012.08.27 19:58:59 | 000,033,792 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32192\image101.dll
[2012.08.27 19:58:59 | 000,159,744 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32192\jpeg_ms.dll
[2012.08.27 19:58:59 | 000,421,200 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32192\msvcp100.dll
[2012.08.27 19:58:59 | 000,770,384 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32192\msvcr100.dll
[2012.08.27 19:58:59 | 002,010,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32192\opencv_core220.dll
[2012.08.27 19:58:59 | 001,242,112 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32192\opencv_imgproc220.dll
[2012.08.27 19:58:59 | 001,304,576 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32192\panogenics32.dll
[2012.11.13 09:10:04 | 008,154,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32214\hxxxdecoder.dll
[2012.11.13 09:10:03 | 000,033,792 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32214\image101.dll
[2012.11.13 09:10:03 | 000,159,744 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32214\jpeg_ms.dll
[2012.11.13 09:10:03 | 000,421,200 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32214\msvcp100.dll
[2012.11.13 09:10:03 | 000,770,384 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32214\msvcr100.dll
[2012.11.13 09:10:03 | 002,010,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32214\opencv_core220.dll
[2012.11.13 09:10:03 | 001,242,112 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32214\opencv_imgproc220.dll
[2012.11.13 09:10:04 | 001,304,576 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32214\panogenics32.dll
[2013.05.18 04:30:00 | 008,154,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32235\hxxxdecoder.dll
[2013.05.18 04:29:59 | 000,033,792 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32235\image101.dll
[2013.05.18 04:30:00 | 000,159,744 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32235\jpeg_ms.dll
[2013.05.18 04:29:59 | 000,421,200 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32235\msvcp100.dll
[2013.05.18 04:29:59 | 000,770,384 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32235\msvcr100.dll
[2013.05.18 04:30:00 | 002,010,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32235\opencv_core220.dll
[2013.05.18 04:30:00 | 001,242,112 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32235\opencv_imgproc220.dll
[2013.05.18 04:30:00 | 001,304,576 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32235\panogenics32.dll
[2012.08.26 16:43:17 | 008,154,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32238\hxxxdecoder.dll
[2012.08.26 16:43:16 | 000,033,792 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32238\image101.dll
[2012.08.26 16:43:16 | 000,159,744 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32238\jpeg_ms.dll
[2012.08.26 16:43:16 | 000,421,200 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32238\msvcp100.dll
[2012.08.26 16:43:16 | 000,770,384 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32238\msvcr100.dll
[2012.08.26 16:43:16 | 002,010,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32238\opencv_core220.dll
[2012.08.26 16:43:16 | 001,242,112 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32238\opencv_imgproc220.dll
[2012.08.26 16:43:17 | 001,304,576 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\CAMARC32238\panogenics32.dll
[2011.04.19 14:42:02 | 003,290,624 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Temp\ctd\lcap305.dll

< End of report >

aharonov · 31.05.2013, 11:27

Dann bitte so weiter:

Schritt 1

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

ATTFilter

C:\*.exe /s /4
C:\*.dll /s /4

Schliesse bitte alle anderen Programme.
Klicke nun auf None (deutsch "Nichts") und danach auf den Scan Button.
Kopiere danach den Inhalt der OTL.txt hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

Log von Combofix
Log von OTL

waldhueter · 31.05.2013, 13:31

Hallo Leo, die Tools habe ich durchlaufen lassen, die beiden Log Files sind anbei.
Das Tool Combofix meldete bei beginn, dass der McAfee Anti Virus immer noch laufe. Dabei hatte ich aber nichts weiter gefunden gehabt. (Im Programm selbst auf "Stop" geklickt, die Dienste gestoppt und im Task Manager versucht alle Prozesse zu finden.)

ComboFix log:

Code:

ATTFilter

ComboFix 13-05-31.01 - Administrator 31.05.2013  13:51:34.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1552 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *Enabled/Updated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\2433f433
c:\dokumente und einstellungen\wahl2\Anwendungsdaten\2433f433
c:\dokumente und einstellungen\wahl2\Anwendungsdaten\Desktopicon
c:\dokumente und einstellungen\wahl2\Anwendungsdaten\Desktopicon\eBayShortcuts.exe
c:\dokumente und einstellungen\wahl2\Anwendungsdaten\Etaw
c:\dokumente und einstellungen\wahl2\Anwendungsdaten\Etaw\byveq.kie
c:\dokumente und einstellungen\wahl2\Anwendungsdaten\Etaw\byveq.tmp
c:\dokumente und einstellungen\wahl2\Desktop\Setup.exe
C:\newdnswatch
c:\windows\IsUn0407.exe
c:\windows\system32\2625422200.dat
c:\windows\system32\hjgruinylvmpcx.dat
c:\windows\system32\hjgruiybwugfmo.dat
c:\windows\system32\kock
c:\windows\system32\sysservice.dll
c:\windows\system32\Thumbs.db
c:\windows\system32\UAs
c:\windows\system32\UAs\iexplore.exe_UAs001.dat
c:\windows\system32\UAs\iexplore.exe_UAs002.dat
c:\windows\system32\UAs\iexplore.exe_UAs003.dat
c:\windows\system32\UNWISE.EXE
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
c:\windows\system32\xmldm
c:\windows\wininit.ini
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_hjgruiemppexrx
-------\Service_hjgruiemppexrx
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-04-28 bis 2013-05-31  ))))))))))))))))))))))))))))))
.
.
2013-05-30 14:28 . 2013-05-30 14:28	--------	d-----w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Corel
2013-05-30 09:31 . 2013-05-30 09:32	--------	d-----w-	c:\dokumente und einstellungen\TEMP
2013-05-30 09:26 . 2013-05-30 09:26	--------	d-----w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\QuickScan
2013-05-30 08:09 . 2013-05-30 08:09	--------	d-----w-	c:\dokumente und einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Mozilla
2013-05-30 08:09 . 2013-05-30 08:09	--------	d-----w-	c:\programme\Mozilla Maintenance Service
2013-05-30 07:59 . 2013-05-30 07:59	--------	d-----w-	c:\programme\HitmanPro
2013-05-30 07:59 . 2013-05-30 08:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\HitmanPro
2013-05-30 07:37 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2013-05-30 07:29 . 2012-06-02 13:19	15896	----a-w-	c:\windows\system32\wuapi.dll.mui
2013-05-30 07:28 . 2013-05-30 07:28	--------	d-sh--w-	c:\dokumente und einstellungen\admin\IECompatCache
2013-05-30 07:28 . 2013-05-30 07:28	--------	d-sh--w-	c:\dokumente und einstellungen\admin\PrivacIE
2013-05-30 07:09 . 2013-05-30 07:09	--------	d-----w-	c:\dokumente und einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Ahead
2013-05-30 07:09 . 2013-05-30 07:09	--------	d-sh--w-	c:\dokumente und einstellungen\admin\IETldCache
2013-05-30 07:09 . 2013-05-30 07:09	--------	d-----w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Windows Small Business Server
2013-05-24 08:58 . 2013-05-24 08:58	--------	d-----w-	c:\dokumente und einstellungen\wahl2\restore
2013-05-24 07:42 . 2013-05-27 10:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\tmp
2013-05-24 07:42 . 2013-05-24 07:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\hps
2013-05-24 07:38 . 2013-05-24 07:38	--------	d-----w-	c:\programme\Pixum
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-15 13:45 . 2012-07-11 11:45	692104	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-05-15 13:45 . 2011-09-21 14:47	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-04-04 12:50 . 2009-02-27 13:10	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Backnet Office Pro Synchronisierung.lnk - c:\bop\bopklient\forms\SyncApp.exe [2011-8-1 422912]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys]
@=""
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk
backup=c:\windows\pss\Windows Search.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\McAfeeUpdaterUI]
KEY [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
IT [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
STALL [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ShStatEXE]
E [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-08-31 01:57	40368	----a-w-	c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2008-06-19 14:20	57344	----a-w-	c:\windows\ALCMTR.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStarter]
2010-09-06 10:47	188200	----a-w-	c:\programme\Continental Trading GmbH\AutoStarter\AutoStarter.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2008-06-24 15:06	1840424	----a-w-	c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2008-06-19 08:53	570664	----a-w-	c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-10-09 12:54	17021440	----a-w-	c:\windows\RTHDCPL.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-05-29 10:33	148888	----a-w-	c:\jre\bin\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
S2 qxjdwyf;qxjdwyf;\??\c:\windows\system32\drivers\rvxtjwraw.sys --> c:\windows\system32\drivers\rvxtjwraw.sys [?]
S4 GhostDownload2Service;Downloadterminal II;c:\programme\Terminal Download II\GhostDownload2ServV100.exe [08.07.2010 16:13 1841664]
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-31 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-11 13:45]
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: DhcpNameServer = 192.168.60.1 192.168.60.254 4.2.2.2
FF - ProfilePath - 
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-Synchronization Manager - C.EXE
MSConfigStartUp-Adobe ARM - \ADOBE\ARM\1.0\ADOBEARM.EXE
MSConfigStartUp-netc - c:\windows\svc.exe
MSConfigStartUp-userinit - c:\windows\system32\ntos.exe
MSConfigStartUp-WBhXTAWuFpmNyON - 86.EXE
AddRemove-Hardlock Gerätetreiber - c:\windows\system32\UNWISE.EXE
AddRemove- FS-1300D Printer Library - c:\programme\Kyocera\FS-1100
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-05-31 14:00
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1252)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Canon\DIAS\CnxDIAS.exe
c:\programme\McAfee\Common Framework\FrameworkService.exe
c:\programme\McAfee\VirusScan Enterprise\Mcshield.exe
c:\programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
c:\windows\system32\nvsvc32.exe
c:\programme\McAfee\Common Framework\naPrdMgr.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\wscntfy.exe
c:\programme\McAfee\Common Framework\UdaterUI.exe
c:\programme\McAfee\Common Framework\McTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-05-31  14:03:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-05-31 12:03
.
Vor Suchlauf: 20 Verzeichnis(se), 189.078.814.720 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 189.430.964.224 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - BAC8285181F4D8B9F1617202F1DC9F96

OTL Log:

Code:

ATTFilter

OTL logfile created on: 31.05.2013 14:09:30 - Run 3
OTL by OldTimer - Version 3.2.69.0     Folder = F:\Förster
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,35 Gb Available Physical Memory | 67,47% Memory free
3,85 Gb Paging File | 3,36 Gb Available in Paging File | 87,23% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 200,09 Gb Total Space | 176,43 Gb Free Space | 88,18% Space Free | Partition Type: NTFS
Drive D: | 353,74 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF
Drive E: | 265,67 Gb Total Space | 265,59 Gb Free Space | 99,97% Space Free | Partition Type: NTFS
Drive F: | 380,35 Gb Total Space | 107,12 Gb Free Space | 28,16% Space Free | Partition Type: NTFS
Drive R: | 380,35 Gb Total Space | 107,12 Gb Free Space | 28,16% Space Free | Partition Type: NTFS
 
Computer Name: HR_WAHL_2009 | User Name: admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Custom Scans ==========
 
< C:\*.exe /s /4 >
[1 C:\Bop\bopklient\forms\*.tmp files -> C:\Bop\bopklient\forms\*.tmp -> ]
[2013.05.31 12:50:53 | 005,075,482 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe
[2013.05.30 16:29:18 | 009,159,136 | ---- | M] (SurfRight B.V.) -- C:\Dokumente und Einstellungen\admin\Eigene Dateien\Downloads\hitmanpro.exe
[2013.05.31 10:10:35 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\admin\Eigene Dateien\Downloads\OTL.exe
[2013.05.31 12:50:53 | 005,075,482 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[2013.05.29 19:55:08 | 009,159,136 | ---- | M] (SurfRight B.V.) -- C:\Programme\HitmanPro\HitmanPro.exe
[2013.05.30 09:49:36 | 000,712,264 | ---- | M] () -- C:\Programme\Malwarebytes' Anti-Malware\unins000.exe
[2013.05.30 10:09:33 | 000,106,212 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Maintenance Service\Uninstall.exe
[2013.05.31 13:50:18 | 004,626,152 | ---- | M] (Microsoft Corporation) -- C:\System Volume Information\_restore{704B5602-AD5C-4D9F-B09D-395E5259548A}\RP316\A0017248.exe
[2013.05.30 10:24:47 | 000,410,112 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\ComSvcConfig\d4c26db6e38062408a243b9842f0dc9a\ComSvcConfig.ni.exe
[2013.05.30 10:24:59 | 000,014,336 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\dfsvc\eeefda9b58e578a92df0439b8e1772d8\dfsvc.ni.exe
[2013.05.30 10:25:02 | 000,133,632 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\MSBuild\ba785db91400f525153b29c13ea2f7ee\MSBuild.ni.exe
[2013.05.30 09:48:39 | 000,047,104 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\PresentationFontCac#\0f410e5729f64f2acc084505f01f863f\PresentationFontCache.ni.exe
[2013.05.30 10:24:51 | 000,320,512 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\ServiceModelReg\cd5d56cbf173909b23bd764b53f246d1\ServiceModelReg.ni.exe
[2013.05.30 10:24:53 | 000,366,080 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\SMSvcHost\282e01daabaac115e295a812a4a14bc3\SMSvcHost.ni.exe
[2013.05.30 10:24:54 | 000,321,536 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\WsatConfig\45e885857a57dce7161bc6e2a028ec2d\WsatConfig.ni.exe
[2 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< C:\*.dll /s /4 >
[1 C:\Bop\bopklient\forms\*.tmp files -> C:\Bop\bopklient\forms\*.tmp -> ]
[2013.05.30 11:26:37 | 000,637,952 | ---- | M] (Bitdefender LLC) -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\oi6d1qmj.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
[2013.05.30 09:49:52 | 000,069,120 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\CustomMarshalers\2.0.0.0__b03f5f7f11d50a3a\CustomMarshalers.dll
[2013.05.30 09:49:57 | 000,072,192 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\ISymWrapper\2.0.0.0__b03f5f7f11d50a3a\ISymWrapper.dll
[2013.05.30 09:50:02 | 004,550,656 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll
[2013.05.30 09:50:04 | 000,486,400 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.Data.OracleClient\2.0.0.0__b77a5c561934e089\System.Data.OracleClient.dll
[2013.05.30 09:50:05 | 002,933,248 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.Data\2.0.0.0__b77a5c561934e089\System.Data.dll
[2013.05.30 09:49:59 | 000,258,048 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll
[2013.05.30 09:49:59 | 000,113,664 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll
[2013.05.30 09:49:59 | 000,261,632 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.Transactions\2.0.0.0__b77a5c561934e089\System.Transactions.dll
[2013.05.30 09:49:46 | 005,246,976 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.Web\2.0.0.0__b03f5f7f11d50a3a\System.Web.dll
[2013.05.30 09:49:55 | 000,010,752 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Accessibility\2.0.0.0__b03f5f7f11d50a3a\Accessibility.dll
[2013.05.30 09:49:47 | 000,507,904 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\AspNetMMCExt\2.0.0.0__b03f5f7f11d50a3a\AspNetMMCExt.dll
[2013.05.30 09:49:51 | 000,013,312 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\cscompmgd\8.0.0.0__b03f5f7f11d50a3a\cscompmgd.dll
[2013.05.30 09:49:52 | 000,008,192 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll
[2013.05.30 09:49:53 | 000,077,824 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\IEHost\2.0.0.0__b03f5f7f11d50a3a\IEHost.dll
[2013.05.30 09:49:54 | 000,006,656 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\IIEHost\2.0.0.0__b03f5f7f11d50a3a\IIEHost.dll
[2013.05.30 09:50:00 | 000,348,160 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Build.Engine\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Engine.dll
[2013.05.30 09:50:01 | 000,036,864 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Build.Framework\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Framework.dll
[2013.05.30 09:50:01 | 000,655,360 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Build.Tasks\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Tasks.dll
[2013.05.30 09:50:02 | 000,077,824 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Build.Utilities\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Utilities.dll
[2013.05.30 09:49:57 | 000,749,568 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.JScript\8.0.0.0__b03f5f7f11d50a3a\Microsoft.JScript.dll
[2013.05.30 09:49:57 | 000,110,592 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic.Compatibility.Data\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Compatibility.Data.dll
[2013.05.30 09:49:56 | 000,372,736 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic.Compatibility\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Compatibility.dll
[2013.05.30 09:49:58 | 000,028,672 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic.Vsa\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Vsa.dll
[2013.05.30 09:49:55 | 000,659,456 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll
[2013.05.30 09:50:03 | 000,005,632 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualC\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualC.Dll
[2013.05.30 09:49:58 | 000,012,800 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Vsa.Vb.CodeDOMProcessor\8.0.0.0__b03f5f7f11d50a3a\Microsoft.Vsa.Vb.CodeDOMProcessor.dll
[2013.05.30 09:49:55 | 000,032,768 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Vsa\8.0.0.0__b03f5f7f11d50a3a\Microsoft.Vsa.dll
[2013.05.30 09:49:53 | 000,007,168 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft_VsaVb\8.0.0.0__b03f5f7f11d50a3a\Microsoft_VsaVb.dll
[2013.05.30 09:46:30 | 000,110,592 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\SMDiagnostics\3.0.0.0__b77a5c561934e089\SMdiagnostics.dll
[2013.05.30 09:50:03 | 000,110,592 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\sysglobl\2.0.0.0__b03f5f7f11d50a3a\sysglobl.dll
[2013.05.30 09:50:03 | 000,081,920 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Configuration.Install\2.0.0.0__b03f5f7f11d50a3a\System.Configuration.Install.dll
[2013.05.30 09:50:04 | 000,425,984 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Configuration\2.0.0.0__b03f5f7f11d50a3a\System.configuration.dll
[2013.05.30 09:46:03 | 000,294,912 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Data.Services.Client\3.5.0.0__b77a5c561934e089\System.Data.Services.Client.dll
[2013.05.30 09:46:03 | 000,114,688 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Data.Services.Design\3.5.0.0__b77a5c561934e089\System.Data.Services.Design.dll
[2013.05.30 09:46:04 | 000,446,464 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Data.Services\3.5.0.0__b77a5c561934e089\System.Data.Services.dll
[2013.05.30 09:50:05 | 000,745,472 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Data.SqlXml\2.0.0.0__b77a5c561934e089\System.Data.SqlXml.dll
[2013.05.30 09:50:06 | 000,970,752 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Deployment\2.0.0.0__b03f5f7f11d50a3a\System.Deployment.dll
[2013.05.30 09:49:49 | 005,062,656 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Design\2.0.0.0__b03f5f7f11d50a3a\System.Design.dll
[2013.05.30 09:49:51 | 000,188,416 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.DirectoryServices.Protocols\2.0.0.0__b03f5f7f11d50a3a\System.DirectoryServices.Protocols.dll
[2013.05.30 09:49:54 | 000,401,408 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.DirectoryServices\2.0.0.0__b03f5f7f11d50a3a\System.DirectoryServices.dll
[2013.05.30 09:49:48 | 000,081,920 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Drawing.Design\2.0.0.0__b03f5f7f11d50a3a\System.Drawing.Design.dll
[2013.05.30 09:50:00 | 000,630,784 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Drawing\2.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll
[2013.05.30 09:46:30 | 000,438,272 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.IdentityModel\3.0.0.0__b77a5c561934e089\System.IdentityModel.dll
[2013.05.30 09:50:02 | 000,372,736 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Management\2.0.0.0__b03f5f7f11d50a3a\System.Management.dll
[2013.05.30 09:50:01 | 000,258,048 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Messaging\2.0.0.0__b03f5f7f11d50a3a\System.Messaging.dll
[2013.05.30 09:50:00 | 000,303,104 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Runtime.Remoting\2.0.0.0__b77a5c561934e089\System.Runtime.Remoting.dll
[2013.05.30 09:49:59 | 000,131,072 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Runtime.Serialization.Formatters.Soap\2.0.0.0__b03f5f7f11d50a3a\System.Runtime.Serialization.Formatters.Soap.dll
[2013.05.30 09:46:30 | 000,970,752 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Runtime.Serialization\3.0.0.0__b77a5c561934e089\System.Runtime.Serialization.dll
[2013.05.30 09:49:59 | 000,258,048 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Security\2.0.0.0__b03f5f7f11d50a3a\System.Security.dll
[2013.05.30 09:46:32 | 000,032,768 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.ServiceModel.WasHosting\3.0.0.0__b77a5c561934e089\System.ServiceModel.WasHosting.dll
[2013.05.30 09:46:31 | 005,967,872 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.ServiceModel\3.0.0.0__b77a5c561934e089\System.ServiceModel.dll
[2013.05.30 09:49:56 | 000,114,688 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.ServiceProcess\2.0.0.0__b03f5f7f11d50a3a\System.ServiceProcess.dll
[2013.05.30 09:49:51 | 000,835,584 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Web.Mobile\2.0.0.0__b03f5f7f11d50a3a\System.Web.Mobile.dll
[2013.05.30 09:49:50 | 000,077,824 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Web.RegularExpressions\2.0.0.0__b03f5f7f11d50a3a\System.Web.RegularExpressions.dll
[2013.05.30 09:49:50 | 000,839,680 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Web.Services\2.0.0.0__b03f5f7f11d50a3a\System.Web.Services.dll
[2013.05.30 09:49:48 | 005,025,792 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Windows.Forms\2.0.0.0__b77a5c561934e089\System.Windows.Forms.dll
[2013.05.30 09:49:58 | 002,048,000 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Xml\2.0.0.0__b77a5c561934e089\System.XML.dll
[2013.05.30 09:50:06 | 003,194,880 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System\2.0.0.0__b77a5c561934e089\System.dll
[2013.05.30 09:48:37 | 000,025,600 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Accessibility\cbee94ec6a0fe649e3b4643cea6e1259\Accessibility.ni.dll
[2013.05.30 10:24:57 | 000,842,240 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\AspNetMMCExt\c0cd31ba68d6952657ee90cdb042eb49\AspNetMMCExt.ni.dll
[2013.05.30 10:25:04 | 000,220,672 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\CustomMarshalers\3283b562a391db4f3f6dcee754de15a8\CustomMarshalers.ni.dll
[2013.05.30 10:25:05 | 000,222,720 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Con#\b8af21b5fc065a357f964e9e3e2e8576\Microsoft.Build.Conversion.v3.5.ni.dll
[2013.05.30 10:25:04 | 001,888,768 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Eng#\1c133c8466c4bf10f93f77b72d229c2b\Microsoft.Build.Engine.ni.dll
[2013.05.30 10:25:06 | 000,839,680 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Eng#\5afe5c05111850f23485bf1a24b6c3b4\Microsoft.Build.Engine.ni.dll
[2013.05.30 09:47:34 | 000,065,024 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Fra#\0867adb1191f06023432a7a5a8edbffe\Microsoft.Build.Framework.ni.dll
[2013.05.30 10:25:02 | 000,074,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Fra#\49168b6e9bcfda811c130f5744a6f898\Microsoft.Build.Framework.ni.dll
[2013.05.30 10:25:09 | 001,620,992 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Tas#\0c7a3d586d3a2b4c1b3cdcc9cbe7bbe2\Microsoft.Build.Tasks.ni.dll
[2013.05.30 10:25:11 | 001,966,080 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Tas#\1821fa04925d7b02bc93f0247364057e\Microsoft.Build.Tasks.v3.5.ni.dll
[2013.05.30 10:25:11 | 000,175,104 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Uti#\0cde2d5d254e97580e40a738b05f1607\Microsoft.Build.Utilities.v3.5.ni.dll
[2013.05.30 09:47:34 | 000,144,384 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Uti#\fc4f1fb77932886fe8fdc26167cc43dc\Microsoft.Build.Utilities.ni.dll
[2013.05.30 10:26:01 | 002,333,696 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.JScript\5f463581bb85d528b1e77fd10b8b793f\Microsoft.JScript.ni.dll
[2013.05.30 10:24:50 | 000,386,560 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Transacti#\375240171befe90cdb169d1246e54f90\Microsoft.Transactions.Bridge.Dtc.ni.dll
[2013.05.30 10:24:48 | 001,093,120 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Transacti#\59c257c7b5aa55c11643b2b022b21390\Microsoft.Transactions.Bridge.ni.dll
[2013.05.30 10:25:14 | 001,712,128 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.VisualBas#\024c898ad1ccfde466d033c0a08d0564\Microsoft.VisualBasic.ni.dll
[2013.05.30 09:48:11 | 000,015,872 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.VisualC\5c2289688d985ef25a3ddb72387add56\Microsoft.VisualC.ni.dll
[2013.05.30 10:26:01 | 000,055,296 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Vsa\92c6da74d9d9a24f45663194cdaee855\Microsoft.Vsa.ni.dll
[2013.05.30 09:46:31 | 011,492,352 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\eab2340ead8e1a84bdf1a87868659979\mscorlib.ni.dll
[2013.05.30 09:47:00 | 001,451,008 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\PresentationBuildTa#\0275990812ebc7b1c340c9e11ce0e16a\PresentationBuildTasks.ni.dll
[2013.05.30 09:47:35 | 000,039,424 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\PresentationCFFRast#\7af854942c9c39fe54d805b8c5b83360\PresentationCFFRasterizer.ni.dll
[2013.05.30 09:48:09 | 012,218,368 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\PresentationCore\2e26794770e6d33cf79a7f8daa4a48c3\PresentationCore.ni.dll
[2013.05.30 09:55:07 | 014,329,856 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\PresentationFramewo#\2abe0b9f0e996273614f4cf1f6808eed\PresentationFramework.ni.dll
[2013.05.30 09:55:14 | 001,657,856 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\PresentationUI\6bfd979d8f94530b92f2d31f88cf64ca\PresentationUI.ni.dll
[2013.05.30 09:55:20 | 002,146,304 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\ReachFramework\64ad3d6ccdc3afa7919528cc5a0143a6\ReachFramework.ni.dll
[2013.05.30 10:24:52 | 000,256,000 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\SMDiagnostics\64bfc7fc01a4a79ce6b2c433c2e6e1a9\SMDiagnostics.ni.dll
[2013.05.30 10:00:02 | 000,232,448 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\sysglobl\96ae64a63ca680b3119bf75f21bd9a03\sysglobl.ni.dll
[2013.05.30 10:25:15 | 000,082,944 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.AddIn.Contra#\e0b386f60b2d24262a704f8acccca355\System.AddIn.Contract.ni.dll
[2013.05.30 10:25:15 | 000,634,368 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.AddIn\49341991fa2d2d1dba0981c38628b0c1\System.AddIn.ni.dll
[2013.05.30 10:25:16 | 000,094,208 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ComponentMod#\9e2cd3874886663026d0f365c75e8ec3\System.ComponentModel.DataAnnotations.ni.dll
[2013.05.30 09:59:34 | 000,141,312 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuratio#\5571f6ece2abdda5305bdd3a91bb105c\System.Configuration.Install.ni.dll
[2013.05.30 09:47:02 | 000,971,264 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\96b7a0136e9e72e8f4eb0230c20766d2\System.Configuration.ni.dll
[2013.05.30 09:59:38 | 002,295,296 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Core\edbf4e4a55e63b9fbf0b0b40cba13063\System.Core.ni.dll
[2013.05.30 10:25:17 | 000,135,680 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.DataSet#\ede288cdbafb6e929135626b7750cc48\System.Data.DataSetExtensions.ni.dll
[2013.05.30 10:25:50 | 000,756,736 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.Entity.#\218419129b3876016ad4c80a9be55d2f\System.Data.Entity.Design.ni.dll
[2013.05.30 10:25:48 | 009,924,096 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.Entity\cb0051d82d9bf4ee754dc9d7aa34dccc\System.Data.Entity.ni.dll
[2013.05.30 09:59:44 | 002,516,480 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.Linq\327ac5b3c1dd2109a4eda92ecacd855b\System.Data.Linq.ni.dll
[2013.05.30 09:59:32 | 001,123,840 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.OracleC#\6f2c5033c6e2df98e485957ff9ad81bb\System.Data.OracleClient.ni.dll
[2013.05.30 10:25:55 | 000,354,816 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.Service#\8b0d6ef4a7e8ae913cff3a8224ae3310\System.Data.Services.Design.ni.dll
[2013.05.30 10:25:54 | 000,939,008 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.Service#\e8dc1eea54962aa61652ad3eacd87bbc\System.Data.Services.Client.ni.dll
[2013.05.30 10:25:53 | 001,333,760 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.Services\296dc57c34da55944f3844c1e89b1bbf\System.Data.Services.ni.dll
[2013.05.30 09:47:32 | 002,510,336 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.SqlXml\d8f621506aee1c8eb8fdb948d4640dca\System.Data.SqlXml.ni.dll
[2013.05.30 09:55:43 | 006,739,456 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data\aa8ce47fc92a2f2280772e56060b5b4e\System.Data.ni.dll
[2013.05.30 09:50:35 | 001,801,216 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Deployment\ef1d9614d051bc4a8dbde75ac1ef851d\System.Deployment.ni.dll
[2013.05.30 09:59:29 | 010,682,368 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Design\73225093c20182100aea1c88b30ddab3\System.Design.ni.dll
[2013.05.30 09:59:33 | 000,455,680 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.DirectorySer#\59861191f45966eaa879c5dce9d5eb31\System.DirectoryServices.Protocols.ni.dll
[2013.05.30 10:25:57 | 000,881,152 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.DirectorySer#\a7723c772080980a7997c17d634c60b8\System.DirectoryServices.AccountManagement.ni.dll
[2013.05.30 09:55:45 | 001,158,656 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.DirectorySer#\f442b52c0e314a517190fd33e0138b08\System.DirectoryServices.ni.dll
[2013.05.30 09:59:30 | 000,208,384 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing.Desi#\6031c4509b0b2d22d46bd6391055a912\System.Drawing.Design.ni.dll
[2013.05.30 09:48:20 | 001,593,856 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\7782f356a838c403b4a8e9c80df5a577\System.Drawing.ni.dll
[2013.05.30 09:55:49 | 000,627,712 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.EnterpriseSe#\04eea38364e5ced71d02bf104cb5892c\System.EnterpriseServices.ni.dll
[2013.05.30 09:55:49 | 000,280,064 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.EnterpriseSe#\04eea38364e5ced71d02bf104cb5892c\System.EnterpriseServices.Wrapper.dll
[2013.05.30 10:24:58 | 000,212,992 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.IdentityMode#\e111a71c3241227f928b484f57ffa827\System.IdentityModel.Selectors.ni.dll
[2013.05.30 10:24:18 | 001,071,616 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.IdentityModel\91442e74da926f6b2c33b5754014940d\System.IdentityModel.ni.dll
[2013.05.30 10:24:19 | 000,381,440 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.IO.Log\f1915b64e2a05b8aa26cf307515f7d15\System.IO.Log.ni.dll
[2013.05.30 10:25:58 | 000,330,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Management.I#\f59675dee47aa02365e471fe95446f7d\System.Management.Instrumentation.ni.dll
[2013.05.30 10:25:59 | 000,998,400 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Management\1a6f9e23985e3159e6dd9827fd81c2fd\System.Management.ni.dll
[2013.05.30 10:26:29 | 000,593,408 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Messaging\c960f324d457e86395bb8c6250874f93\System.Messaging.ni.dll
[2013.05.30 10:26:02 | 000,621,056 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Net\1b6dfa86f54cb57b6f1271dc7b408c27\System.Net.ni.dll
[2013.05.30 09:55:34 | 001,069,568 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Printing\57b89a6b24ab101b5d777259e2cf426b\System.Printing.ni.dll
[2013.05.30 09:55:52 | 000,771,584 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\d7a2248a76f0e94d56c92c5bf96f5175\System.Runtime.Remoting.ni.dll
[2013.05.30 09:48:38 | 000,311,296 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\07de14823c42ee36ffa303d9c89ded36\System.Runtime.Serialization.Formatters.Soap.ni.dll
[2013.05.30 10:24:23 | 002,345,472 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\51e7151c1420690c754d7f986c4b1c42\System.Runtime.Serialization.ni.dll
[2013.05.30 09:47:33 | 000,684,032 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Security\203f25ba39b45027d2d0c8f849a471db\System.Security.ni.dll
[2013.05.30 10:26:05 | 001,706,496 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceModel#\55d91ed4812d4afa44a4834a8bed682e\System.ServiceModel.Web.ni.dll
[2013.05.30 10:24:43 | 017,403,904 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceModel\58ee03cb0f505b226bfe97c0e879005f\System.ServiceModel.ni.dll
[2013.05.30 09:59:34 | 000,212,992 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\d7ee03714420b252415b952d40ef59e4\System.ServiceProcess.ni.dll
[2013.05.30 10:00:00 | 001,917,440 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Speech\91a81dc769e9148a0b9f3840c87ef083\System.Speech.ni.dll
[2013.05.30 09:55:47 | 000,627,200 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Transactions\ad737988d5bde126a3b7770eacc51e5b\System.Transactions.ni.dll
[2013.05.30 10:26:07 | 000,141,312 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Abstract#\2666c47bd8b655b5ffd11fb349c1c61a\System.Web.Abstractions.ni.dll
[2013.05.30 10:26:10 | 000,547,328 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.DynamicD#\0f1bac01b585b649d5a4740d0985a6b9\System.Web.DynamicData.ni.dll
[2013.05.30 10:26:11 | 000,036,864 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.DynamicD#\d3999b5b09c4b47d98d9e08e6f493485\System.Web.DynamicData.Design.ni.dll
[2013.05.30 10:26:13 | 000,301,056 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Entity.D#\fbb8430d5cc1965c8a1b584b04cc8308\System.Web.Entity.Design.ni.dll
[2013.05.30 10:26:12 | 000,328,704 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Entity\aea5a856de30abacdcaea7453a3024ce\System.Web.Entity.ni.dll
[2013.05.30 10:26:14 | 000,859,648 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Extensio#\10538663662bb189f95499e7f3c4bc7e\System.Web.Extensions.Design.ni.dll
[2013.05.30 10:26:09 | 002,405,888 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Extensio#\ff7c62f5a1d77c6c3993da2c80b1c38e\System.Web.Extensions.ni.dll
[2013.05.30 10:26:16 | 002,209,280 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Mobile\52dc5692a7cef3f6943f741ea3e1e209\System.Web.Mobile.ni.dll
[2013.05.30 09:59:32 | 000,202,240 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.RegularE#\e5846a2081be426bdb31f2022ab41c37\System.Web.RegularExpressions.ni.dll
[2013.05.30 10:26:07 | 000,129,536 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Routing\86fae87172fa23aa5191addc3bc99121\System.Web.Routing.ni.dll
[2013.05.30 09:58:48 | 001,840,640 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Services\8a0eba3c8f881dd718ab4d1bb5118f15\System.Web.Services.ni.dll
[2013.05.30 09:58:33 | 011,817,472 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\e143370f0583abe015d8e3d2d536185e\System.Web.ni.dll
[2013.05.30 09:53:42 | 012,433,920 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\ba12e418b906593b7c9c18f971f36bf9\System.Windows.Forms.ni.dll
[2013.05.30 10:26:19 | 000,037,888 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Pres#\991ad93657de297db845f683a9a4dcc1\System.Windows.Presentation.ni.dll
[2013.05.30 10:26:22 | 002,992,640 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Workflow.Act#\4246f9aaa3abc25a22d9a833271fab5e\System.Workflow.Activities.ni.dll
[2013.05.30 10:26:26 | 004,514,304 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Workflow.Com#\434670828cb97ed2cdc32d00a0a3b2c8\System.Workflow.ComponentModel.ni.dll
[2013.05.30 10:26:29 | 001,908,224 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Workflow.Run#\4b38bdba080f7c07c041c06209cf9848\System.Workflow.Runtime.ni.dll
[2013.05.30 10:26:32 | 001,356,288 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.WorkflowServ#\b1e61da93475e511d4ea18a200811864\System.WorkflowServices.ni.dll
[2013.05.30 10:26:33 | 000,400,896 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml.Linq\38d7801308f456f03608b4355bf78961\System.Xml.Linq.ni.dll
[2013.05.30 09:47:27 | 005,450,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\fe025743210c22bea2f009e1612c38bf\System.Xml.ni.dll
[2013.05.30 09:46:58 | 007,977,984 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\aeac298c43c77d8860db8e7634d9f2eb\System.ni.dll
[2013.05.30 10:00:04 | 000,447,488 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\UIAutomationClient\e5f660f9793338708c3c715726d4c741\UIAutomationClient.ni.dll
[2013.05.30 10:00:06 | 001,049,600 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\UIAutomationClients#\d34aa6b54cbc4ac7b8b4be935e3b9554\UIAutomationClientsideProviders.ni.dll
[2013.05.30 09:48:11 | 000,060,928 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\UIAutomationProvider\0b5c7d832d0a10ddcfa764d3e4adce14\UIAutomationProvider.ni.dll
[2013.05.30 09:48:12 | 000,187,904 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\UIAutomationTypes\8437e1bde9814389b822daaa51e7862e\UIAutomationTypes.ni.dll
[2013.05.30 09:47:42 | 003,325,440 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\WindowsBase\4b889e41364baff1e456817b4777b610\WindowsBase.ni.dll
[2013.05.30 10:00:14 | 000,240,128 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\WindowsFormsIntegra#\39329a609f7ec0df679f464129e37927\WindowsFormsIntegration.ni.dll
[2 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
[2013.05.30 09:49:52 | 000,008,192 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\MSIL_IEExecRemote_b03f5f7f11d50a3a_2.0.0.0_x-ww_6e57c34e\IEExecRemote.dll
[2013.05.30 09:49:59 | 000,258,048 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_System.EnterpriseServices_b03f5f7f11d50a3a_2.0.0.0_x-ww_7d5f3790\System.EnterpriseServices.dll
[2013.05.30 09:49:59 | 000,113,664 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_System.EnterpriseServices_b03f5f7f11d50a3a_2.0.0.0_x-ww_7d5f3790\System.EnterpriseServices.Wrapper.dll

< End of report >

aharonov · 31.05.2013, 13:41

Mach noch folgenden Fix und versuch danach, dich wieder ganz normal in das befallene Benutzerkonto einzuloggen. Klappt das wieder?

Schritt 1

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

ATTFilter

:OTL
[2013.05.29 18:37:08 | 000,163,026 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Anwendungsdaten\2433f433
[2013.05.29 18:37:08 | 000,163,020 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Vorlagen\2433f433

:commands
[emptytemp]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

waldhueter · 31.05.2013, 15:08

Also, beim Anmeldeversuch unter dem normalen Benutzer war mir der komplette Anmeldevorgang abgestürzt. (nach 30min war immer noch kein Desktop vorhanden, nur das Hintergrundbild) daraufhin habe ich neu gestartet, versucht anzumelden und der Trojaner kam wieder zum vorschein.

Unter dem noch funktionierenden Benutzername erhalte ich mittlerweile die Fehlermeldung, dass die Firewall nicht aktiviert werden kann, weil der Dienst "Shared access" nicht läuft.
Beim versuch, diesen zu starten kommt der Fehler:1060 Der Dienst ist kein installierter Dienst.

Hier noch der OTL log:

Code:

ATTFilter

All processes killed
========== OTL ==========
C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Anwendungsdaten\2433f433 moved successfully.
C:\Dokumente und Einstellungen\wahl2\Vorlagen\2433f433 moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: admin
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 327974 bytes
->FireFox cache emptied: 25189846 bytes
->Flash cache emptied: 762 bytes
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->FireFox cache emptied: 14500380 bytes
 
User: administrator.WAHL
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Nutzer
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: TEMP
->Temporary Internet Files folder emptied: 32768 bytes
 
User: TEMP.WAHL
->Temporary Internet Files folder emptied: 32768 bytes
 
User: TEMP.WAHL.000
->Temporary Internet Files folder emptied: 32768 bytes
 
User: wahl2
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 154650 bytes
->Java cache emptied: 506379 bytes
->Flash cache emptied: 54997 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 140 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 117280791 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 151,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 05312013_150514

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\hlktmp scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\WFV2.tmp scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

aharonov · 31.05.2013, 15:14

Um die restlichen Fehlermeldungen kümmern wir uns dann später. Jetzt muss zuerst mal der Sperrbildschirm weg.
Bitte im funktionierenden Benutzerkonto ausführen:

Schritt 1

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

ATTFilter

C:\2433f433 /s
C:\*.exe /s /4
C:\*.dll /s /4

Schliesse bitte alle anderen Programme.
Setze den Haken bei Scan all Users.
Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von OTL

waldhueter · 31.05.2013, 15:36

alle klar. wollte es nur erwähnen.

anbei der Log. Ich bin dann jetzt erstmal arbeiten. Kann dann also morgen weiter machen.

Code:

ATTFilter

OTL logfile created on: 31.05.2013 16:16:16 - Run 4
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\admin\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,36 Gb Available Physical Memory | 67,85% Memory free
3,85 Gb Paging File | 3,35 Gb Available in Paging File | 87,09% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 200,09 Gb Total Space | 176,44 Gb Free Space | 88,18% Space Free | Partition Type: NTFS
Drive D: | 353,74 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF
Drive E: | 265,67 Gb Total Space | 265,59 Gb Free Space | 99,97% Space Free | Partition Type: NTFS
Drive F: | 380,35 Gb Total Space | 107,23 Gb Free Space | 28,19% Space Free | Partition Type: NTFS
Drive R: | 380,35 Gb Total Space | 107,23 Gb Free Space | 28,19% Space Free | Partition Type: NTFS
Drive Z: | 380,35 Gb Total Space | 107,23 Gb Free Space | 28,19% Space Free | Partition Type: NTFS
 
Computer Name: HR_WAHL_2009 | User Name: admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.05.30 15:17:55 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\admin\Desktop\OTL.exe
PRC - [2010.08.04 10:51:34 | 003,889,064 | ---- | M] (CANON INC.) -- C:\Programme\Canon\DIAS\CnxDIAS.exe
PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.12.20 02:50:00 | 000,136,768 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\UdaterUI.exe
PRC - [2006.12.20 02:50:00 | 000,136,768 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\naPrdMgr.exe
PRC - [2006.12.20 02:50:00 | 000,104,000 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\FrameworkService.exe
PRC - [2006.12.20 02:50:00 | 000,086,016 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\Mctray.exe
PRC - [2006.11.30 09:50:00 | 000,144,960 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
PRC - [2006.11.30 09:50:00 | 000,054,872 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.08.30 23:25:44 | 000,016,832 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\ViewerPS.dll
MOD - [2008.05.02 06:15:37 | 000,010,240 | ---- | M] () -- C:\Programme\Unlocker\UnlockerCOM.dll
MOD - [2006.12.20 02:50:00 | 000,120,384 | ---- | M] () -- C:\Programme\McAfee\Common Framework\naXML71.dll
MOD - [2006.12.20 02:50:00 | 000,071,232 | ---- | M] () -- C:\Programme\McAfee\Common Framework\naisign.dll
MOD - [2006.11.30 09:50:00 | 000,149,080 | ---- | M] () -- C:\Programme\McAfee\VirusScan Enterprise\VsEvntUI.DLL
 
 
========== Services (SafeList) ==========
 
SRV - [2013.05.15 15:45:15 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.05.12 00:26:17 | 000,117,144 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2011.07.20 05:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2010.08.04 10:51:34 | 003,889,064 | ---- | M] (CANON INC.) [Auto | Running] -- C:\Programme\Canon\DIAS\CnxDIAS.exe -- (Canon Driver Information Assist Service)
SRV - [2010.07.08 16:13:38 | 001,841,664 | ---- | M] (KS System GmbH) [Disabled | Stopped] -- C:\Programme\Terminal Download II\GhostDownload2ServV100.exe -- (GhostDownload2Service)
SRV - [2009.05.29 12:33:55 | 000,152,984 | ---- | M] (Sun Microsystems, Inc.) [Disabled | Stopped] -- C:\jre\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2008.06.24 17:05:56 | 000,537,896 | ---- | M] (Nero AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2006.12.20 02:50:00 | 000,104,000 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\Common Framework\FrameworkService.exe -- (McAfeeFramework)
SRV - [2006.11.30 09:50:00 | 000,144,960 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe -- (McShield)
SRV - [2006.11.30 09:50:00 | 000,054,872 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe -- (McTaskManager)
SRV - [2006.10.26 15:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\rvxtjwraw.sys -- (qxjdwyf)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - [2009.06.05 09:16:32 | 000,142,336 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2008.10.13 18:26:10 | 004,879,360 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2008.04.14 14:00:00 | 000,012,800 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usb8023.sys -- (USB_RNDIS_XP)
DRV - [2006.11.30 09:50:00 | 000,168,776 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2006.11.30 09:50:00 | 000,072,264 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2006.11.30 09:50:00 | 000,064,360 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfeapfk.sys -- (mfeapfk)
DRV - [2006.11.30 09:50:00 | 000,052,136 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\mfetdik.sys -- (mfetdik)
DRV - [2006.11.30 09:50:00 | 000,034,152 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2006.11.30 09:50:00 | 000,031,944 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Programme\McAfee\VirusScan Enterprise\mferkdk.sys -- (mferkdk)
DRV - [2006.11.22 10:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.60.1:80
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.60.1:80
 
 
 
IE - HKU\S-1-5-21-1250491402-4247718661-2145709833-1172\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1250491402-4247718661-2145709833-1172\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1250491402-4247718661-2145709833-1172\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledAddons: %7Be001c731-5e37-4538-a5cb-8168736a2360%7D:0.9.9.119
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:21.0
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\jqs@sun.com: C:\jre\lib\deploy\jqs\ff [2009.05.29 12:33:56 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 21.0\extensions\\Components: C:\Programme\Mozilla Firefox\components
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 21.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2013.05.30 10:09:45 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Extensions
[2013.05.30 11:26:49 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\oi6d1qmj.default\extensions
[2013.05.30 11:26:49 | 000,000,000 | ---D | M] (Bitdefender QuickScan) -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\oi6d1qmj.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
[2013.05.30 10:09:30 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\browser\extensions
[2013.05.30 10:09:30 | 000,000,000 | ---D | M] (Default) -- C:\Programme\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
 
O1 HOSTS File: ([2013.05.31 14:00:23 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\ScriptCl.dll (McAfee, Inc.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\jre\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\jre\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Backnet Office Pro Synchronisierung.lnk = C:\Bop\bopklient\forms\SyncApp.exe (Backnet E&S)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-1250491402-4247718661-2145709833-1172\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-1250491402-4247718661-2145709833-1172\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1369898901955 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.60.1 192.168.60.254 4.2.2.2
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wahl.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7FB7C888-1C72-4819-AE57-638213E6DFF5}: DhcpNameServer = 192.168.60.1 192.168.60.254 4.2.2.2
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{F214278F-2202-4950-A9D0-2041A111EDF4}: DhcpNameServer = 192.168.60.1 192.168.60.254 4.2.2.2
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.12.16 14:38:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.05.31 15:06:11 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2013.05.31 15:05:14 | 000,000,000 | ---D | C] -- C:\_OTL
[2013.05.31 15:03:43 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\admin\Desktop\OTL.exe
[2013.05.31 13:50:23 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2013.05.31 13:13:27 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2013.05.31 13:13:27 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2013.05.31 13:13:27 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2013.05.31 13:13:27 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013.05.31 12:54:44 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.05.31 12:54:39 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\admin\Startmenü\Programme\Verwaltung
[2013.05.31 12:54:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2013.05.31 12:53:01 | 005,075,482 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe
[2013.05.30 16:29:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Eigene Dateien\Downloads
[2013.05.30 16:28:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Corel
[2013.05.30 11:26:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\QuickScan
[2013.05.30 10:09:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2013.05.30 10:09:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla
[2013.05.30 10:09:32 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[2013.05.30 10:09:28 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2013.05.30 09:59:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\HitmanPro
[2013.05.30 09:59:44 | 000,000,000 | ---D | C] -- C:\Programme\HitmanPro
[2013.05.30 09:59:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HitmanPro
[2013.05.30 09:28:38 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\admin\IECompatCache
[2013.05.30 09:28:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia
[2013.05.30 09:28:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Adobe
[2013.05.30 09:28:01 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\admin\PrivacIE
[2013.05.30 09:15:35 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\admin\Recent
[2013.05.30 09:09:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Ahead
[2013.05.30 09:09:35 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\admin\IETldCache
[2013.05.30 09:09:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Windows Small Business Server
[2013.05.24 09:42:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2013.05.24 09:42:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hps
[2013.05.24 09:42:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Pixum Fotobuch
[2013.05.24 09:38:53 | 000,000,000 | ---D | C] -- C:\Programme\Pixum
 
========== Files - Modified Within 30 Days ==========
 
[2013.05.31 16:02:16 | 000,200,819 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2013.05.31 15:59:35 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.05.31 15:59:33 | 2145,570,816 | -HS- | M] () -- C:\hiberfil.sys
[2013.05.31 15:55:44 | 000,163,018 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433
[2013.05.31 15:45:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.05.31 14:01:12 | 000,487,922 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.05.31 14:01:12 | 000,444,600 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.05.31 14:01:12 | 000,095,776 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.05.31 14:01:12 | 000,072,476 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.05.31 14:00:23 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2013.05.31 13:50:26 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2013.05.31 12:50:53 | 005,075,482 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe
[2013.05.30 15:17:55 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\admin\Desktop\OTL.exe
[2013.05.30 10:09:33 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2013.05.30 10:07:19 | 000,001,503 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Browserwahl.lnk
[2013.05.30 09:52:30 | 000,277,352 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013.05.30 09:43:34 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013.05.30 09:30:38 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.05.30 09:16:05 | 000,010,880 | ---- | M] () -- C:\Dokumente und Einstellungen\admin\Eigene Dateien\registry vor säuberung.reg
[2013.05.30 09:12:55 | 000,000,211 | ---- | M] () -- C:\Boot.bak
[2013.05.30 09:09:39 | 000,000,766 | ---- | M] () -- C:\Dokumente und Einstellungen\admin\Desktop\Windows Media Player.lnk
[2013.05.27 13:11:28 | 000,000,432 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2013.05.24 09:42:14 | 000,000,785 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Fotoschau.lnk
[2013.05.24 09:42:13 | 000,000,810 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Pixum Fotobuch.lnk
 
========== Files Created - No Company Name ==========
 
[2013.05.31 15:55:44 | 000,163,018 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433
[2013.05.31 13:50:26 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2013.05.31 13:50:23 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2013.05.31 13:13:27 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2013.05.31 13:13:27 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2013.05.31 13:13:27 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2013.05.31 13:13:27 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2013.05.31 13:13:27 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2013.05.31 13:01:30 | 2145,570,816 | -HS- | C] () -- C:\hiberfil.sys
[2013.05.30 10:09:33 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2013.05.30 10:09:33 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2013.05.30 10:07:19 | 000,001,503 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Browserwahl.lnk
[2013.05.30 09:43:17 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2013.05.30 09:16:03 | 000,010,880 | ---- | C] () -- C:\Dokumente und Einstellungen\admin\Eigene Dateien\registry vor säuberung.reg
[2013.05.30 09:09:39 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\admin\Startmenü\Programme\Windows Media Player.lnk
[2013.05.30 09:09:39 | 000,000,766 | ---- | C] () -- C:\Dokumente und Einstellungen\admin\Desktop\Windows Media Player.lnk
[2013.05.24 09:42:14 | 000,000,785 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Fotoschau.lnk
[2013.05.24 09:42:13 | 000,000,810 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Pixum Fotobuch.lnk
[2012.02.14 23:17:18 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012.01.13 22:49:13 | 000,073,728 | R--- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2011.11.08 11:07:34 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2011.08.01 11:47:05 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\hlduinst.exe
[2011.08.01 11:47:04 | 000,006,836 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.INI
[2011.08.01 11:46:46 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2011.08.01 10:57:44 | 000,000,787 | ---- | C] () -- C:\WINDOWS\UninstBOP.ini
[2009.05.29 12:34:11 | 000,035,941 | ---- | C] () -- C:\Programme\buildlog.xml
[2009.01.19 12:18:22 | 000,013,908 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
 
========== ZeroAccess Check ==========
 
[2008.12.16 14:47:34 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.10.16 03:00:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 14:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2013.05.30 11:26:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\QuickScan
[2008.12.16 14:59:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Windows Desktop Search
[2013.05.30 09:09:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Windows Small Business Server
[2008.12.16 14:59:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
[2011.12.28 10:44:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Search
[2009.07.22 12:58:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.WAHL\Anwendungsdaten\Continental Trading GmbH
[2008.12.16 14:59:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.WAHL\Anwendungsdaten\Windows Desktop Search
[2011.09.05 13:33:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.WAHL\Anwendungsdaten\Windows Small Business Server
[2011.05.05 11:13:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canon
[2013.05.30 10:04:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HitmanPro
[2010.12.15 12:11:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Terminal Download II
[2013.05.27 12:40:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2008.12.16 14:59:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\Windows Desktop Search
[2008.12.16 14:59:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Windows Desktop Search
[2009.05.29 12:37:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\Continental Trading GmbH
[2011.11.27 00:48:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\Fyezt
[2011.02.09 14:15:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\Lihuzy
[2011.08.01 10:53:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\TeamViewer
[2010.12.15 12:10:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\Terminal Download II
[2008.12.16 14:59:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\Windows Desktop Search
[2009.01.19 18:00:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\Windows Search
[2011.09.13 10:37:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\Windows Small Business Server
[2011.11.27 00:49:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\Xuup
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< C:\2433f433 /s >
[2013.05.29 18:37:08 | 000,163,026 | ---- | M] () -- C:\_OTL\MovedFiles\05312013_150514\C_Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Anwendungsdaten\2433f433
[2013.05.29 18:37:08 | 000,163,020 | ---- | M] () -- C:\_OTL\MovedFiles\05312013_150514\C_Dokumente und Einstellungen\wahl2\Vorlagen\2433f433
[2013.05.31 15:55:44 | 000,163,018 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433
[2008.12.16 14:28:10 | 000,000,065 | RH-- | C] () -- C:\WINDOWS\Tasks\desktop.ini
[2008.12.16 14:40:12 | 000,000,006 | -H-- | C] () -- C:\WINDOWS\Tasks\SA.DAT
[2012.07.11 13:45:23 | 000,000,884 | ---- | C] () -- C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
 
< C:\*.exe /s /4 >
[1 C:\Bop\bopklient\forms\*.tmp files -> C:\Bop\bopklient\forms\*.tmp -> ]
[2013.05.31 12:50:53 | 005,075,482 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe
[2013.05.30 15:17:55 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\admin\Desktop\OTL.exe
[2013.05.30 16:29:18 | 009,159,136 | ---- | M] (SurfRight B.V.) -- C:\Dokumente und Einstellungen\admin\Eigene Dateien\Downloads\hitmanpro.exe
[2013.05.31 10:10:35 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\admin\Eigene Dateien\Downloads\OTL.exe
[2013.05.31 12:50:53 | 005,075,482 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[2013.05.29 19:55:08 | 009,159,136 | ---- | M] (SurfRight B.V.) -- C:\Programme\HitmanPro\HitmanPro.exe
[2013.05.30 09:49:36 | 000,712,264 | ---- | M] () -- C:\Programme\Malwarebytes' Anti-Malware\unins000.exe
[2013.05.30 10:09:33 | 000,106,212 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Maintenance Service\Uninstall.exe
[2013.05.30 10:24:47 | 000,410,112 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\ComSvcConfig\d4c26db6e38062408a243b9842f0dc9a\ComSvcConfig.ni.exe
[2013.05.30 10:24:59 | 000,014,336 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\dfsvc\eeefda9b58e578a92df0439b8e1772d8\dfsvc.ni.exe
[2013.05.30 10:25:02 | 000,133,632 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\MSBuild\ba785db91400f525153b29c13ea2f7ee\MSBuild.ni.exe
[2013.05.30 09:48:39 | 000,047,104 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\PresentationFontCac#\0f410e5729f64f2acc084505f01f863f\PresentationFontCache.ni.exe
[2013.05.30 10:24:51 | 000,320,512 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\ServiceModelReg\cd5d56cbf173909b23bd764b53f246d1\ServiceModelReg.ni.exe
[2013.05.30 10:24:53 | 000,366,080 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\SMSvcHost\282e01daabaac115e295a812a4a14bc3\SMSvcHost.ni.exe
[2013.05.30 10:24:54 | 000,321,536 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\WsatConfig\45e885857a57dce7161bc6e2a028ec2d\WsatConfig.ni.exe
 
< C:\*.dll /s /4 >
[1 C:\Bop\bopklient\forms\*.tmp files -> C:\Bop\bopklient\forms\*.tmp -> ]
[2013.05.30 11:26:37 | 000,637,952 | ---- | M] (Bitdefender LLC) -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\oi6d1qmj.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
[2013.05.30 09:49:52 | 000,069,120 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\CustomMarshalers\2.0.0.0__b03f5f7f11d50a3a\CustomMarshalers.dll
[2013.05.30 09:49:57 | 000,072,192 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\ISymWrapper\2.0.0.0__b03f5f7f11d50a3a\ISymWrapper.dll
[2013.05.30 09:50:02 | 004,550,656 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll
[2013.05.30 09:50:04 | 000,486,400 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.Data.OracleClient\2.0.0.0__b77a5c561934e089\System.Data.OracleClient.dll
[2013.05.30 09:50:05 | 002,933,248 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.Data\2.0.0.0__b77a5c561934e089\System.Data.dll
[2013.05.30 09:49:59 | 000,258,048 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll
[2013.05.30 09:49:59 | 000,113,664 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll
[2013.05.30 09:49:59 | 000,261,632 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.Transactions\2.0.0.0__b77a5c561934e089\System.Transactions.dll
[2013.05.30 09:49:46 | 005,246,976 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.Web\2.0.0.0__b03f5f7f11d50a3a\System.Web.dll
[2013.05.30 09:49:55 | 000,010,752 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Accessibility\2.0.0.0__b03f5f7f11d50a3a\Accessibility.dll
[2013.05.30 09:49:47 | 000,507,904 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\AspNetMMCExt\2.0.0.0__b03f5f7f11d50a3a\AspNetMMCExt.dll
[2013.05.30 09:49:51 | 000,013,312 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\cscompmgd\8.0.0.0__b03f5f7f11d50a3a\cscompmgd.dll
[2013.05.30 09:49:52 | 000,008,192 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll
[2013.05.30 09:49:53 | 000,077,824 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\IEHost\2.0.0.0__b03f5f7f11d50a3a\IEHost.dll
[2013.05.30 09:49:54 | 000,006,656 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\IIEHost\2.0.0.0__b03f5f7f11d50a3a\IIEHost.dll
[2013.05.30 09:50:00 | 000,348,160 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Build.Engine\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Engine.dll
[2013.05.30 09:50:01 | 000,036,864 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Build.Framework\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Framework.dll
[2013.05.30 09:50:01 | 000,655,360 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Build.Tasks\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Tasks.dll
[2013.05.30 09:50:02 | 000,077,824 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Build.Utilities\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Utilities.dll
[2013.05.30 09:49:57 | 000,749,568 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.JScript\8.0.0.0__b03f5f7f11d50a3a\Microsoft.JScript.dll
[2013.05.30 09:49:57 | 000,110,592 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic.Compatibility.Data\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Compatibility.Data.dll
[2013.05.30 09:49:56 | 000,372,736 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic.Compatibility\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Compatibility.dll
[2013.05.30 09:49:58 | 000,028,672 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic.Vsa\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Vsa.dll
[2013.05.30 09:49:55 | 000,659,456 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll
[2013.05.30 09:50:03 | 000,005,632 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualC\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualC.Dll
[2013.05.30 09:49:58 | 000,012,800 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Vsa.Vb.CodeDOMProcessor\8.0.0.0__b03f5f7f11d50a3a\Microsoft.Vsa.Vb.CodeDOMProcessor.dll
[2013.05.30 09:49:55 | 000,032,768 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Vsa\8.0.0.0__b03f5f7f11d50a3a\Microsoft.Vsa.dll
[2013.05.30 09:49:53 | 000,007,168 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Microsoft_VsaVb\8.0.0.0__b03f5f7f11d50a3a\Microsoft_VsaVb.dll
[2013.05.30 09:46:30 | 000,110,592 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\SMDiagnostics\3.0.0.0__b77a5c561934e089\SMdiagnostics.dll
[2013.05.30 09:50:03 | 000,110,592 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\sysglobl\2.0.0.0__b03f5f7f11d50a3a\sysglobl.dll
[2013.05.30 09:50:03 | 000,081,920 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Configuration.Install\2.0.0.0__b03f5f7f11d50a3a\System.Configuration.Install.dll
[2013.05.30 09:50:04 | 000,425,984 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Configuration\2.0.0.0__b03f5f7f11d50a3a\System.configuration.dll
[2013.05.30 09:46:03 | 000,294,912 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Data.Services.Client\3.5.0.0__b77a5c561934e089\System.Data.Services.Client.dll
[2013.05.30 09:46:03 | 000,114,688 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Data.Services.Design\3.5.0.0__b77a5c561934e089\System.Data.Services.Design.dll
[2013.05.30 09:46:04 | 000,446,464 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Data.Services\3.5.0.0__b77a5c561934e089\System.Data.Services.dll
[2013.05.30 09:50:05 | 000,745,472 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Data.SqlXml\2.0.0.0__b77a5c561934e089\System.Data.SqlXml.dll
[2013.05.30 09:50:06 | 000,970,752 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Deployment\2.0.0.0__b03f5f7f11d50a3a\System.Deployment.dll
[2013.05.30 09:49:49 | 005,062,656 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Design\2.0.0.0__b03f5f7f11d50a3a\System.Design.dll
[2013.05.30 09:49:51 | 000,188,416 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.DirectoryServices.Protocols\2.0.0.0__b03f5f7f11d50a3a\System.DirectoryServices.Protocols.dll
[2013.05.30 09:49:54 | 000,401,408 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.DirectoryServices\2.0.0.0__b03f5f7f11d50a3a\System.DirectoryServices.dll
[2013.05.30 09:49:48 | 000,081,920 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Drawing.Design\2.0.0.0__b03f5f7f11d50a3a\System.Drawing.Design.dll
[2013.05.30 09:50:00 | 000,630,784 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Drawing\2.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll
[2013.05.30 09:46:30 | 000,438,272 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.IdentityModel\3.0.0.0__b77a5c561934e089\System.IdentityModel.dll
[2013.05.30 09:50:02 | 000,372,736 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Management\2.0.0.0__b03f5f7f11d50a3a\System.Management.dll
[2013.05.30 09:50:01 | 000,258,048 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Messaging\2.0.0.0__b03f5f7f11d50a3a\System.Messaging.dll
[2013.05.30 09:50:00 | 000,303,104 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Runtime.Remoting\2.0.0.0__b77a5c561934e089\System.Runtime.Remoting.dll
[2013.05.30 09:49:59 | 000,131,072 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Runtime.Serialization.Formatters.Soap\2.0.0.0__b03f5f7f11d50a3a\System.Runtime.Serialization.Formatters.Soap.dll
[2013.05.30 09:46:30 | 000,970,752 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Runtime.Serialization\3.0.0.0__b77a5c561934e089\System.Runtime.Serialization.dll
[2013.05.30 09:49:59 | 000,258,048 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Security\2.0.0.0__b03f5f7f11d50a3a\System.Security.dll
[2013.05.30 09:46:32 | 000,032,768 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.ServiceModel.WasHosting\3.0.0.0__b77a5c561934e089\System.ServiceModel.WasHosting.dll
[2013.05.30 09:46:31 | 005,967,872 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.ServiceModel\3.0.0.0__b77a5c561934e089\System.ServiceModel.dll
[2013.05.30 09:49:56 | 000,114,688 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.ServiceProcess\2.0.0.0__b03f5f7f11d50a3a\System.ServiceProcess.dll
[2013.05.30 09:49:51 | 000,835,584 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Web.Mobile\2.0.0.0__b03f5f7f11d50a3a\System.Web.Mobile.dll
[2013.05.30 09:49:50 | 000,077,824 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Web.RegularExpressions\2.0.0.0__b03f5f7f11d50a3a\System.Web.RegularExpressions.dll
[2013.05.30 09:49:50 | 000,839,680 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Web.Services\2.0.0.0__b03f5f7f11d50a3a\System.Web.Services.dll
[2013.05.30 09:49:48 | 005,025,792 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Windows.Forms\2.0.0.0__b77a5c561934e089\System.Windows.Forms.dll
[2013.05.30 09:49:58 | 002,048,000 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Xml\2.0.0.0__b77a5c561934e089\System.XML.dll
[2013.05.30 09:50:06 | 003,194,880 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System\2.0.0.0__b77a5c561934e089\System.dll
[2013.05.30 09:48:37 | 000,025,600 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Accessibility\cbee94ec6a0fe649e3b4643cea6e1259\Accessibility.ni.dll
[2013.05.30 10:24:57 | 000,842,240 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\AspNetMMCExt\c0cd31ba68d6952657ee90cdb042eb49\AspNetMMCExt.ni.dll
[2013.05.30 10:25:04 | 000,220,672 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\CustomMarshalers\3283b562a391db4f3f6dcee754de15a8\CustomMarshalers.ni.dll
[2013.05.30 10:25:05 | 000,222,720 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Con#\b8af21b5fc065a357f964e9e3e2e8576\Microsoft.Build.Conversion.v3.5.ni.dll
[2013.05.30 10:25:04 | 001,888,768 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Eng#\1c133c8466c4bf10f93f77b72d229c2b\Microsoft.Build.Engine.ni.dll
[2013.05.30 10:25:06 | 000,839,680 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Eng#\5afe5c05111850f23485bf1a24b6c3b4\Microsoft.Build.Engine.ni.dll
[2013.05.30 09:47:34 | 000,065,024 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Fra#\0867adb1191f06023432a7a5a8edbffe\Microsoft.Build.Framework.ni.dll
[2013.05.30 10:25:02 | 000,074,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Fra#\49168b6e9bcfda811c130f5744a6f898\Microsoft.Build.Framework.ni.dll
[2013.05.30 10:25:09 | 001,620,992 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Tas#\0c7a3d586d3a2b4c1b3cdcc9cbe7bbe2\Microsoft.Build.Tasks.ni.dll
[2013.05.30 10:25:11 | 001,966,080 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Tas#\1821fa04925d7b02bc93f0247364057e\Microsoft.Build.Tasks.v3.5.ni.dll
[2013.05.30 10:25:11 | 000,175,104 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Uti#\0cde2d5d254e97580e40a738b05f1607\Microsoft.Build.Utilities.v3.5.ni.dll
[2013.05.30 09:47:34 | 000,144,384 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Uti#\fc4f1fb77932886fe8fdc26167cc43dc\Microsoft.Build.Utilities.ni.dll
[2013.05.30 10:26:01 | 002,333,696 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.JScript\5f463581bb85d528b1e77fd10b8b793f\Microsoft.JScript.ni.dll
[2013.05.30 10:24:50 | 000,386,560 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Transacti#\375240171befe90cdb169d1246e54f90\Microsoft.Transactions.Bridge.Dtc.ni.dll
[2013.05.30 10:24:48 | 001,093,120 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Transacti#\59c257c7b5aa55c11643b2b022b21390\Microsoft.Transactions.Bridge.ni.dll
[2013.05.30 10:25:14 | 001,712,128 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.VisualBas#\024c898ad1ccfde466d033c0a08d0564\Microsoft.VisualBasic.ni.dll
[2013.05.30 09:48:11 | 000,015,872 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.VisualC\5c2289688d985ef25a3ddb72387add56\Microsoft.VisualC.ni.dll
[2013.05.30 10:26:01 | 000,055,296 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Vsa\92c6da74d9d9a24f45663194cdaee855\Microsoft.Vsa.ni.dll
[2013.05.30 09:46:31 | 011,492,352 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\eab2340ead8e1a84bdf1a87868659979\mscorlib.ni.dll
[2013.05.30 09:47:00 | 001,451,008 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\PresentationBuildTa#\0275990812ebc7b1c340c9e11ce0e16a\PresentationBuildTasks.ni.dll
[2013.05.30 09:47:35 | 000,039,424 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\PresentationCFFRast#\7af854942c9c39fe54d805b8c5b83360\PresentationCFFRasterizer.ni.dll
[2013.05.30 09:48:09 | 012,218,368 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\PresentationCore\2e26794770e6d33cf79a7f8daa4a48c3\PresentationCore.ni.dll
[2013.05.30 09:55:07 | 014,329,856 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\PresentationFramewo#\2abe0b9f0e996273614f4cf1f6808eed\PresentationFramework.ni.dll
[2013.05.30 09:55:14 | 001,657,856 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\PresentationUI\6bfd979d8f94530b92f2d31f88cf64ca\PresentationUI.ni.dll
[2013.05.30 09:55:20 | 002,146,304 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\ReachFramework\64ad3d6ccdc3afa7919528cc5a0143a6\ReachFramework.ni.dll
[2013.05.30 10:24:52 | 000,256,000 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\SMDiagnostics\64bfc7fc01a4a79ce6b2c433c2e6e1a9\SMDiagnostics.ni.dll
[2013.05.30 10:00:02 | 000,232,448 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\sysglobl\96ae64a63ca680b3119bf75f21bd9a03\sysglobl.ni.dll
[2013.05.30 10:25:15 | 000,082,944 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.AddIn.Contra#\e0b386f60b2d24262a704f8acccca355\System.AddIn.Contract.ni.dll
[2013.05.30 10:25:15 | 000,634,368 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.AddIn\49341991fa2d2d1dba0981c38628b0c1\System.AddIn.ni.dll
[2013.05.30 10:25:16 | 000,094,208 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ComponentMod#\9e2cd3874886663026d0f365c75e8ec3\System.ComponentModel.DataAnnotations.ni.dll
[2013.05.30 09:59:34 | 000,141,312 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuratio#\5571f6ece2abdda5305bdd3a91bb105c\System.Configuration.Install.ni.dll
[2013.05.30 09:47:02 | 000,971,264 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\96b7a0136e9e72e8f4eb0230c20766d2\System.Configuration.ni.dll
[2013.05.30 09:59:38 | 002,295,296 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Core\edbf4e4a55e63b9fbf0b0b40cba13063\System.Core.ni.dll
[2013.05.30 10:25:17 | 000,135,680 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.DataSet#\ede288cdbafb6e929135626b7750cc48\System.Data.DataSetExtensions.ni.dll
[2013.05.30 10:25:50 | 000,756,736 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.Entity.#\218419129b3876016ad4c80a9be55d2f\System.Data.Entity.Design.ni.dll
[2013.05.30 10:25:48 | 009,924,096 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.Entity\cb0051d82d9bf4ee754dc9d7aa34dccc\System.Data.Entity.ni.dll
[2013.05.30 09:59:44 | 002,516,480 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.Linq\327ac5b3c1dd2109a4eda92ecacd855b\System.Data.Linq.ni.dll
[2013.05.30 09:59:32 | 001,123,840 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.OracleC#\6f2c5033c6e2df98e485957ff9ad81bb\System.Data.OracleClient.ni.dll
[2013.05.30 10:25:55 | 000,354,816 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.Service#\8b0d6ef4a7e8ae913cff3a8224ae3310\System.Data.Services.Design.ni.dll
[2013.05.30 10:25:54 | 000,939,008 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.Service#\e8dc1eea54962aa61652ad3eacd87bbc\System.Data.Services.Client.ni.dll
[2013.05.30 10:25:53 | 001,333,760 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.Services\296dc57c34da55944f3844c1e89b1bbf\System.Data.Services.ni.dll
[2013.05.30 09:47:32 | 002,510,336 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data.SqlXml\d8f621506aee1c8eb8fdb948d4640dca\System.Data.SqlXml.ni.dll
[2013.05.30 09:55:43 | 006,739,456 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data\aa8ce47fc92a2f2280772e56060b5b4e\System.Data.ni.dll
[2013.05.30 09:50:35 | 001,801,216 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Deployment\ef1d9614d051bc4a8dbde75ac1ef851d\System.Deployment.ni.dll
[2013.05.30 09:59:29 | 010,682,368 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Design\73225093c20182100aea1c88b30ddab3\System.Design.ni.dll
[2013.05.30 09:59:33 | 000,455,680 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.DirectorySer#\59861191f45966eaa879c5dce9d5eb31\System.DirectoryServices.Protocols.ni.dll
[2013.05.30 10:25:57 | 000,881,152 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.DirectorySer#\a7723c772080980a7997c17d634c60b8\System.DirectoryServices.AccountManagement.ni.dll
[2013.05.30 09:55:45 | 001,158,656 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.DirectorySer#\f442b52c0e314a517190fd33e0138b08\System.DirectoryServices.ni.dll
[2013.05.30 09:59:30 | 000,208,384 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing.Desi#\6031c4509b0b2d22d46bd6391055a912\System.Drawing.Design.ni.dll
[2013.05.30 09:48:20 | 001,593,856 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\7782f356a838c403b4a8e9c80df5a577\System.Drawing.ni.dll
[2013.05.30 09:55:49 | 000,627,712 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.EnterpriseSe#\04eea38364e5ced71d02bf104cb5892c\System.EnterpriseServices.ni.dll
[2013.05.30 09:55:49 | 000,280,064 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.EnterpriseSe#\04eea38364e5ced71d02bf104cb5892c\System.EnterpriseServices.Wrapper.dll
[2013.05.30 10:24:58 | 000,212,992 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.IdentityMode#\e111a71c3241227f928b484f57ffa827\System.IdentityModel.Selectors.ni.dll
[2013.05.30 10:24:18 | 001,071,616 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.IdentityModel\91442e74da926f6b2c33b5754014940d\System.IdentityModel.ni.dll
[2013.05.30 10:24:19 | 000,381,440 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.IO.Log\f1915b64e2a05b8aa26cf307515f7d15\System.IO.Log.ni.dll
[2013.05.30 10:25:58 | 000,330,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Management.I#\f59675dee47aa02365e471fe95446f7d\System.Management.Instrumentation.ni.dll
[2013.05.30 10:25:59 | 000,998,400 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Management\1a6f9e23985e3159e6dd9827fd81c2fd\System.Management.ni.dll
[2013.05.30 10:26:29 | 000,593,408 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Messaging\c960f324d457e86395bb8c6250874f93\System.Messaging.ni.dll
[2013.05.30 10:26:02 | 000,621,056 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Net\1b6dfa86f54cb57b6f1271dc7b408c27\System.Net.ni.dll
[2013.05.30 09:55:34 | 001,069,568 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Printing\57b89a6b24ab101b5d777259e2cf426b\System.Printing.ni.dll
[2013.05.30 09:55:52 | 000,771,584 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\d7a2248a76f0e94d56c92c5bf96f5175\System.Runtime.Remoting.ni.dll
[2013.05.30 09:48:38 | 000,311,296 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\07de14823c42ee36ffa303d9c89ded36\System.Runtime.Serialization.Formatters.Soap.ni.dll
[2013.05.30 10:24:23 | 002,345,472 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\51e7151c1420690c754d7f986c4b1c42\System.Runtime.Serialization.ni.dll
[2013.05.30 09:47:33 | 000,684,032 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Security\203f25ba39b45027d2d0c8f849a471db\System.Security.ni.dll
[2013.05.30 10:26:05 | 001,706,496 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceModel#\55d91ed4812d4afa44a4834a8bed682e\System.ServiceModel.Web.ni.dll
[2013.05.30 10:24:43 | 017,403,904 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceModel\58ee03cb0f505b226bfe97c0e879005f\System.ServiceModel.ni.dll
[2013.05.30 09:59:34 | 000,212,992 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\d7ee03714420b252415b952d40ef59e4\System.ServiceProcess.ni.dll
[2013.05.30 10:00:00 | 001,917,440 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Speech\91a81dc769e9148a0b9f3840c87ef083\System.Speech.ni.dll
[2013.05.30 09:55:47 | 000,627,200 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Transactions\ad737988d5bde126a3b7770eacc51e5b\System.Transactions.ni.dll
[2013.05.30 10:26:07 | 000,141,312 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Abstract#\2666c47bd8b655b5ffd11fb349c1c61a\System.Web.Abstractions.ni.dll
[2013.05.30 10:26:10 | 000,547,328 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.DynamicD#\0f1bac01b585b649d5a4740d0985a6b9\System.Web.DynamicData.ni.dll
[2013.05.30 10:26:11 | 000,036,864 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.DynamicD#\d3999b5b09c4b47d98d9e08e6f493485\System.Web.DynamicData.Design.ni.dll
[2013.05.30 10:26:13 | 000,301,056 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Entity.D#\fbb8430d5cc1965c8a1b584b04cc8308\System.Web.Entity.Design.ni.dll
[2013.05.30 10:26:12 | 000,328,704 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Entity\aea5a856de30abacdcaea7453a3024ce\System.Web.Entity.ni.dll
[2013.05.30 10:26:14 | 000,859,648 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Extensio#\10538663662bb189f95499e7f3c4bc7e\System.Web.Extensions.Design.ni.dll
[2013.05.30 10:26:09 | 002,405,888 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Extensio#\ff7c62f5a1d77c6c3993da2c80b1c38e\System.Web.Extensions.ni.dll
[2013.05.30 10:26:16 | 002,209,280 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Mobile\52dc5692a7cef3f6943f741ea3e1e209\System.Web.Mobile.ni.dll
[2013.05.30 09:59:32 | 000,202,240 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.RegularE#\e5846a2081be426bdb31f2022ab41c37\System.Web.RegularExpressions.ni.dll
[2013.05.30 10:26:07 | 000,129,536 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Routing\86fae87172fa23aa5191addc3bc99121\System.Web.Routing.ni.dll
[2013.05.30 09:58:48 | 001,840,640 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Services\8a0eba3c8f881dd718ab4d1bb5118f15\System.Web.Services.ni.dll
[2013.05.30 09:58:33 | 011,817,472 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\e143370f0583abe015d8e3d2d536185e\System.Web.ni.dll
[2013.05.30 09:53:42 | 012,433,920 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\ba12e418b906593b7c9c18f971f36bf9\System.Windows.Forms.ni.dll
[2013.05.30 10:26:19 | 000,037,888 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Pres#\991ad93657de297db845f683a9a4dcc1\System.Windows.Presentation.ni.dll
[2013.05.30 10:26:22 | 002,992,640 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Workflow.Act#\4246f9aaa3abc25a22d9a833271fab5e\System.Workflow.Activities.ni.dll
[2013.05.30 10:26:26 | 004,514,304 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Workflow.Com#\434670828cb97ed2cdc32d00a0a3b2c8\System.Workflow.ComponentModel.ni.dll
[2013.05.30 10:26:29 | 001,908,224 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Workflow.Run#\4b38bdba080f7c07c041c06209cf9848\System.Workflow.Runtime.ni.dll
[2013.05.30 10:26:32 | 001,356,288 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.WorkflowServ#\b1e61da93475e511d4ea18a200811864\System.WorkflowServices.ni.dll
[2013.05.30 10:26:33 | 000,400,896 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml.Linq\38d7801308f456f03608b4355bf78961\System.Xml.Linq.ni.dll
[2013.05.30 09:47:27 | 005,450,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\fe025743210c22bea2f009e1612c38bf\System.Xml.ni.dll
[2013.05.30 09:46:58 | 007,977,984 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\aeac298c43c77d8860db8e7634d9f2eb\System.ni.dll
[2013.05.30 10:00:04 | 000,447,488 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\UIAutomationClient\e5f660f9793338708c3c715726d4c741\UIAutomationClient.ni.dll
[2013.05.30 10:00:06 | 001,049,600 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\UIAutomationClients#\d34aa6b54cbc4ac7b8b4be935e3b9554\UIAutomationClientsideProviders.ni.dll
[2013.05.30 09:48:11 | 000,060,928 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\UIAutomationProvider\0b5c7d832d0a10ddcfa764d3e4adce14\UIAutomationProvider.ni.dll
[2013.05.30 09:48:12 | 000,187,904 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\UIAutomationTypes\8437e1bde9814389b822daaa51e7862e\UIAutomationTypes.ni.dll
[2013.05.30 09:47:42 | 003,325,440 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\WindowsBase\4b889e41364baff1e456817b4777b610\WindowsBase.ni.dll
[2013.05.30 10:00:14 | 000,240,128 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\WindowsFormsIntegra#\39329a609f7ec0df679f464129e37927\WindowsFormsIntegration.ni.dll
[2013.05.30 09:49:52 | 000,008,192 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\MSIL_IEExecRemote_b03f5f7f11d50a3a_2.0.0.0_x-ww_6e57c34e\IEExecRemote.dll
[2013.05.30 09:49:59 | 000,258,048 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_System.EnterpriseServices_b03f5f7f11d50a3a_2.0.0.0_x-ww_7d5f3790\System.EnterpriseServices.dll
[2013.05.30 09:49:59 | 000,113,664 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_System.EnterpriseServices_b03f5f7f11d50a3a_2.0.0.0_x-ww_7d5f3790\System.EnterpriseServices.Wrapper.dll
 
<           >

< End of report >

aharonov · 31.05.2013, 21:27

Ok, dann so:

Schritt 1

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

ATTFilter

:files
C:\2433f433 /s

:commands
[emptytemp]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Versuche jetzt wieder in das infizierte Benutzerkonto zu starten.

Wenn die Situation wieder folgende ist

Zitat:

beim Anmeldeversuch unter dem normalen Benutzer war mir der komplette Anmeldevorgang abgestürzt. (nach 30min war immer noch kein Desktop vorhanden, nur das Hintergrundbild)

dann drücke die Tastenkombination CTRL + ALT + ENTF, um den Taskmanager zu starten.
Im Taskmanager wähle dann Datei -> Neuer Task (Ausführen...), gib explorer in die "Öffnen"-Eingabefläche ein und drücke OK.
Danach sollte wieder der normale Desktop erscheinen.

Im Desktop angekommen mach mit Combofix weiter:

Schritt 3

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste in deiner nächsten Antwort:

Fixlog von OTL
Log von Combofix

waldhueter · 01.06.2013, 08:25

Hallo Leo,

beim Versuch mich mit dem gesperrten Konto anzumelden, hat der PC recht lange geladen, aber nach ca. 2 min. war der Sperrbildschirm wieder da. Also muss ja doch noch irgendwo was versteckt sein???
Deshalb habe ich Combofix jetzt nicht ausgeführt. Den Log von OTL habe ich aber anbei.

Code:

ATTFilter

All processes killed
========== FILES ==========
C:\_OTL\MovedFiles\05312013_150514\C_Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Anwendungsdaten\2433f433 moved successfully.
C:\_OTL\MovedFiles\05312013_150514\C_Dokumente und Einstellungen\wahl2\Vorlagen\2433f433 moved successfully.
C:\_OTL\MovedFiles\06012013_090014\C__OTL\MovedFiles\05312013_150514\C_Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Anwendungsdaten\2433f433 moved successfully.
C:\_OTL\MovedFiles\06012013_090014\C__OTL\MovedFiles\05312013_150514\C_Dokumente und Einstellungen\wahl2\Vorlagen\2433f433 moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433 moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: admin
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 135666 bytes
->FireFox cache emptied: 15816721 bytes
->Flash cache emptied: 0 bytes
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
 
User: administrator.WAHL
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Nutzer
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: TEMP.WAHL.004
->Temporary Internet Files folder emptied: 32768 bytes
 
User: wahl2
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 477576 bytes
->Flash cache emptied: 6270 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 109350912 bytes
RecycleBin emptied: 361309 bytes
 
Total Files Cleaned = 120,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 06012013_090014

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\hlktmp scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

aharonov · 02.06.2013, 00:24

So jetzt reicht's, wir schauen von aussen rein.
(Das Problem ist hier eben, dass ich im nicht-infizierten Benutzerkonto nur die Hälfte sehen kann.)

Schritt 1

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Bitte poste in deiner nächsten Antwort:

Log von OTLpe

waldhueter · 03.06.2013, 09:48

Hallo Leo,
ich habe OTLPE gestartet und folgende Fehlermeldung erhalten:

Zitat:

The application failed to initialize properly (0xc0000006). Click on OK to terminate the application.

daraufhin ist OTL gestartet und ich habe ihn durchlaufen lassen.
Hier der LOG:

Code:

ATTFilter

OTL logfile created on: 6/3/2013 11:12:55 AM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 88.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 200.09 Gb Total Space | 176.55 Gb Free Space | 88.23% Space Free | Partition Type: NTFS
Drive D: | 265.67 Gb Total Space | 265.59 Gb Free Space | 99.97% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - [2013/05/15 09:45:15 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013/05/11 18:26:17 | 000,117,144 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2011/07/19 23:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2010/08/04 04:51:34 | 003,889,064 | ---- | M] (CANON INC.) [Auto] -- C:\Programme\Canon\DIAS\CnxDIAS.exe -- (Canon Driver Information Assist Service)
SRV - [2010/07/08 10:13:38 | 001,841,664 | ---- | M] (KS System GmbH) [Disabled] -- C:\Programme\Terminal Download II\GhostDownload2ServV100.exe -- (GhostDownload2Service)
SRV - [2009/05/29 06:33:55 | 000,152,984 | ---- | M] (Sun Microsystems, Inc.) [Disabled] -- C:\jre\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2008/06/24 11:05:56 | 000,537,896 | ---- | M] (Nero AG) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2006/12/19 20:50:00 | 000,104,000 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\Common Framework\FrameworkService.exe -- (McAfeeFramework)
SRV - [2006/11/30 03:50:00 | 000,144,960 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe -- (McShield)
SRV - [2006/11/30 03:50:00 | 000,054,872 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe -- (McTaskManager)
SRV - [2006/10/26 09:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | Auto] --  -- (qxjdwyf)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - File not found [Kernel | On_Demand] --  -- (catchme)
DRV - [2009/06/05 03:16:32 | 000,142,336 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2008/10/13 12:26:10 | 004,879,360 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008/04/14 08:00:00 | 000,012,800 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\usb8023.sys -- (USB_RNDIS_XP)
DRV - [2006/11/30 03:50:00 | 000,168,776 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2006/11/30 03:50:00 | 000,072,264 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2006/11/30 03:50:00 | 000,064,360 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfeapfk.sys -- (mfeapfk)
DRV - [2006/11/30 03:50:00 | 000,052,136 | ---- | M] (McAfee, Inc.) [Kernel | System] -- C:\WINDOWS\system32\drivers\mfetdik.sys -- (mfetdik)
DRV - [2006/11/30 03:50:00 | 000,034,152 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2006/11/30 03:50:00 | 000,031,944 | ---- | M] (McAfee, Inc.) [Kernel | System] -- C:\Programme\McAfee\VirusScan Enterprise\mferkdk.sys -- (mferkdk)
DRV - [2006/11/22 04:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.60.1:80
 
IE - HKU\admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\administrator.WAHL_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\Nutzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\wahl2_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.de
IE - HKU\wahl2_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de
IE - HKU\wahl2_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\wahl2_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\wahl2_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.60.1:80
 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\jqs@sun.com: C:\jre\lib\deploy\jqs\ff [2009/05/29 06:33:56 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 21.0\extensions\\Components: C:\Programme\Mozilla Firefox\components
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 21.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2013/05/30 04:09:30 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\browser\extensions
[2013/05/30 04:09:30 | 000,000,000 | ---D | M] (Default) -- C:\Programme\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
 
O1 HOSTS File: ([2013/05/31 08:00:23 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\ScriptCl.dll (McAfee, Inc.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\jre\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\jre\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKU\wahl2_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx]  File not found
O4 - HKU\wahl2_ON_C..\Run: [WBhXTAWuFpmNyON]  File not found
O4 - HKU\wahl2_ON_C..\RunOnce: [FlashPlayerUpdate]  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Backnet Office Pro Synchronisierung.lnk = C:\Bop\bopklient\forms\SyncApp.exe (Backnet E&S)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\admin_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\admin_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\administrator.WAHL_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\administrator.WAHL_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\administrator.WAHL_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\Administrator_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\LocalService_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\LocalService_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\NetworkService_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\NetworkService_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\Nutzer_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\Nutzer_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\Nutzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\systemprofile_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\systemprofile_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\wahl2_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\wahl2_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\wahl2_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
O7 - HKU\wahl2_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1369898901955 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.60.1 192.168.60.254 4.2.2.2
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wahl.local
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\wahl2_ON_C Winlogon: Shell - (cmd.exe) - C:\WINDOWS\System32\cmd.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/12/16 08:38:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013/06/01 03:26:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Nero
[2013/06/01 03:15:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\Windows Small Business Server
[2013/05/31 09:11:17 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\LocalService\Cookies
[2013/05/31 09:06:11 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2013/05/31 09:05:14 | 000,000,000 | ---D | C] -- C:\_OTL
[2013/05/31 09:03:43 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\admin\Desktop\OTL.exe
[2013/05/31 08:05:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2013/05/31 08:05:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla
[2013/05/31 07:50:23 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2013/05/31 07:13:27 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2013/05/31 07:13:27 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2013/05/31 07:13:27 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2013/05/31 07:13:27 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013/05/31 07:09:02 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Verwaltung
[2013/05/31 07:08:32 | 005,075,482 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[2013/05/31 06:54:44 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013/05/31 06:54:39 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\admin\Startmenü\Programme\Verwaltung
[2013/05/31 06:54:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2013/05/31 06:53:01 | 005,075,482 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe
[2013/05/30 10:29:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Eigene Dateien\Downloads
[2013/05/30 10:28:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Corel
[2013/05/30 05:26:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\QuickScan
[2013/05/30 04:09:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2013/05/30 04:09:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla
[2013/05/30 04:09:32 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[2013/05/30 04:09:28 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2013/05/30 04:04:39 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\LocalService\Recent
[2013/05/30 03:59:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\HitmanPro
[2013/05/30 03:59:44 | 000,000,000 | ---D | C] -- C:\Programme\HitmanPro
[2013/05/30 03:59:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HitmanPro
[2013/05/30 03:37:42 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe
[2013/05/30 03:29:12 | 000,015,896 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wuapi.dll.mui
[2013/05/30 03:28:38 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\admin\IECompatCache
[2013/05/30 03:28:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia
[2013/05/30 03:28:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Adobe
[2013/05/30 03:28:01 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\admin\PrivacIE
[2013/05/30 03:15:35 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\admin\Recent
[2013/05/30 03:09:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Ahead
[2013/05/30 03:09:35 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\admin\IETldCache
[2013/05/30 03:09:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Windows Small Business Server
[2013/05/24 03:42:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2013/05/24 03:42:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hps
[2013/05/24 03:42:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Pixum Fotobuch
[2013/05/24 03:38:53 | 000,000,000 | ---D | C] -- C:\Programme\Pixum
 
========== Files - Modified Within 30 Days ==========
 
[2013/06/03 04:01:58 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013/06/03 03:45:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013/06/01 03:21:57 | 000,200,819 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2013/06/01 03:21:22 | 000,000,846 | RHS- | M] () -- C:\Dokumente und Einstellungen\wahl2\ntuser.pol
[2013/06/01 03:15:28 | 000,163,053 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\2433f433
[2013/06/01 03:15:28 | 000,163,026 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Anwendungsdaten\2433f433
[2013/06/01 03:15:28 | 000,163,018 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433
[2013/06/01 03:15:20 | 000,000,212 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Desktop\Interne Website.lnk
[2013/06/01 03:06:07 | 2145,570,816 | -HS- | M] () -- C:\hiberfil.sys
[2013/05/31 08:01:12 | 000,487,922 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013/05/31 08:01:12 | 000,444,600 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013/05/31 08:01:12 | 000,095,776 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013/05/31 08:01:12 | 000,072,476 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013/05/31 08:00:23 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2013/05/31 07:50:26 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2013/05/31 06:50:53 | 005,075,482 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[2013/05/31 06:50:53 | 005,075,482 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe
[2013/05/30 09:17:55 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\admin\Desktop\OTL.exe
[2013/05/30 04:09:33 | 000,000,714 | ---- | M] () -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[2013/05/30 04:09:33 | 000,000,702 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2013/05/30 04:09:33 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2013/05/30 04:07:19 | 000,001,503 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Browserwahl.lnk
[2013/05/30 03:59:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\HitmanPro
[2013/05/30 03:52:30 | 000,277,352 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013/05/30 03:50:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013/05/30 03:43:34 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013/05/30 03:30:38 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013/05/30 03:16:05 | 000,010,880 | ---- | M] () -- C:\Dokumente und Einstellungen\admin\Eigene Dateien\registry vor säuberung.reg
[2013/05/30 03:12:55 | 000,000,211 | ---- | M] () -- C:\Boot.bak
[2013/05/30 03:09:39 | 000,000,766 | ---- | M] () -- C:\Dokumente und Einstellungen\admin\Desktop\Windows Media Player.lnk
[2013/05/27 07:11:28 | 000,000,432 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2013/05/27 05:16:42 | 000,000,183 | ---- | M] () -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Bäckerei Wahl Bestensee.url
[2013/05/24 03:42:14 | 000,000,785 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Fotoschau.lnk
[2013/05/24 03:42:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Pixum Fotobuch
[2013/05/24 03:42:13 | 000,000,810 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Pixum Fotobuch.lnk
[2013/05/15 09:45:13 | 000,692,104 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013/05/15 09:45:13 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
 
========== Files Created - No Company Name ==========
 
[2013/06/01 03:15:28 | 000,163,053 | ---- | C] () -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\2433f433
[2013/06/01 03:15:28 | 000,163,026 | ---- | C] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Anwendungsdaten\2433f433
[2013/06/01 03:15:28 | 000,163,018 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433
[2013/05/31 07:50:26 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2013/05/31 07:50:23 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2013/05/31 07:13:27 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2013/05/31 07:13:27 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2013/05/31 07:13:27 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2013/05/31 07:13:27 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2013/05/31 07:13:27 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2013/05/31 07:01:30 | 2145,570,816 | -HS- | C] () -- C:\hiberfil.sys
[2013/05/30 04:09:33 | 000,000,714 | ---- | C] () -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[2013/05/30 04:09:33 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2013/05/30 04:09:33 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2013/05/30 04:07:19 | 000,001,503 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Browserwahl.lnk
[2013/05/30 03:43:17 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2013/05/30 03:16:03 | 000,010,880 | ---- | C] () -- C:\Dokumente und Einstellungen\admin\Eigene Dateien\registry vor säuberung.reg
[2013/05/30 03:09:39 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\admin\Startmenü\Programme\Windows Media Player.lnk
[2013/05/30 03:09:39 | 000,000,766 | ---- | C] () -- C:\Dokumente und Einstellungen\admin\Desktop\Windows Media Player.lnk
[2013/05/24 03:42:14 | 000,000,785 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Fotoschau.lnk
[2013/05/24 03:42:13 | 000,000,810 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Pixum Fotobuch.lnk
[2012/02/14 17:17:18 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/01/13 16:49:13 | 000,073,728 | R--- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2011/11/08 05:07:34 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2011/08/01 05:47:05 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\hlduinst.exe
[2011/08/01 05:47:04 | 000,006,836 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.INI
[2011/08/01 05:46:46 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2011/08/01 04:57:44 | 000,000,787 | ---- | C] () -- C:\WINDOWS\UninstBOP.ini
[2011/07/26 05:07:59 | 000,000,846 | RHS- | C] () -- C:\Dokumente und Einstellungen\wahl2\ntuser.pol
[2010/07/26 07:16:16 | 000,005,632 | ---- | C] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/07/22 06:58:06 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\administrator.WAHL\AutoStarter.lck
[2009/07/16 21:01:32 | 000,000,285 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2009/05/29 06:41:06 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\wahl2\KeyTools.lck
[2009/05/29 06:41:06 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\wahl2\KeyToolHidCom_6006347.lck
[2009/05/29 06:37:34 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\wahl2\AutoStarter.lck
[2009/05/29 06:34:11 | 000,035,941 | ---- | C] () -- C:\Programme\buildlog.xml
[2009/01/19 08:34:20 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/01/19 08:20:48 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009/01/19 07:39:41 | 000,000,055 | ---- | C] () -- C:\WINDOWS\KMSTMVM.ini
[2009/01/19 06:33:41 | 000,000,280 | ---- | C] () -- C:\WINDOWS\System32\epoPGPsdk.dll.sig
[2009/01/19 06:20:56 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\administrator.WAHL\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/01/19 06:13:23 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/12/16 09:24:21 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2008/12/16 08:48:06 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/12/16 08:45:24 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2008/12/16 08:39:39 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008/12/16 08:36:44 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/12/16 08:33:47 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008/12/16 08:33:14 | 000,277,352 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008/12/16 08:28:18 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2008/12/16 08:28:18 | 001,630,208 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2008/12/16 08:28:18 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2008/12/16 08:28:18 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2008/12/16 08:28:18 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2008/12/16 08:28:17 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2008/12/16 08:28:17 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2008/12/16 08:28:17 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2008/12/16 08:28:17 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2008/12/16 08:28:17 | 000,002,480 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2008/12/16 08:28:15 | 000,487,922 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/12/16 08:28:15 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/12/16 08:28:15 | 000,095,776 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/12/16 08:28:15 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/12/16 08:28:12 | 000,444,600 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/12/16 08:28:12 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/12/16 08:28:12 | 000,072,476 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/12/16 08:28:12 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/12/16 08:28:12 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/12/16 08:28:11 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008/12/16 08:28:11 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008/12/16 08:28:11 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2008/12/16 08:28:10 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/12/16 08:28:10 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/12/16 08:28:08 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/12/16 08:28:07 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/05/26 17:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008/05/26 17:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008/05/26 17:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008/05/26 16:59:42 | 000,018,904 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschematrivial.bin
[2008/05/26 16:59:40 | 000,106,605 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschema.bin
 
========== LOP Check ==========
 
[2013/06/01 03:15:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\Windows Small Business Server
[2013/05/30 05:26:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\QuickScan
[2008/12/16 08:59:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Windows Desktop Search
[2013/05/30 03:09:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Windows Small Business Server
[2009/07/22 06:58:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.WAHL\Anwendungsdaten\Continental Trading GmbH
[2008/12/16 08:59:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.WAHL\Anwendungsdaten\Windows Desktop Search
[2011/09/05 07:33:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.WAHL\Anwendungsdaten\Windows Small Business Server
[2008/12/16 08:59:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
[2011/12/28 04:44:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Search
[2008/12/16 08:59:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Windows Desktop Search
[2011/05/05 05:13:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canon
[2013/05/30 04:04:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HitmanPro
[2010/12/15 06:11:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Terminal Download II
[2013/05/27 06:40:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
 
========== Purity Check ==========
 
 
< End of report >

aharonov · 03.06.2013, 09:55

So, mach jetzt bitte folgenden Fix und teile mir dann mit, ob du den Rechner wieder normal in das betroffene Benutzerkonto starten kannst.

Schritt 1

Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

ATTFilter

:OTL
[2013/06/01 03:15:28 | 000,163,053 | ---- | C] () -- C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\2433f433
[2013/06/01 03:15:28 | 000,163,026 | ---- | C] () -- C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Anwendungsdaten\2433f433
[2013/06/01 03:15:28 | 000,163,018 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433
O20 - HKU\wahl2_ON_C Winlogon: Shell - (cmd.exe) - C:\WINDOWS\System32\cmd.exe (Microsoft Corporation)
O4 - HKU\wahl2_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx]  File not found
O4 - HKU\wahl2_ON_C..\Run: [WBhXTAWuFpmNyON]  File not found

Klicke jetzt auf den Fix Button.
Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
Kopiere nun dessen Inhalt hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

Fixlog von OTLpe

waldhueter · 03.06.2013, 11:38

Hallo Leo,
Fix habe ich durchgeführt und in das Benutzerkonto komme ich jetzt auch wieder rein.

Endlich

Hier der LOG:

Code:

ATTFilter

========== OTL ==========
C:\Dokumente und Einstellungen\wahl2\Anwendungsdaten\2433f433 moved successfully.
C:\Dokumente und Einstellungen\wahl2\Lokale Einstellungen\Anwendungsdaten\2433f433 moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433 moved successfully.
Registry value HKEY_USERS\wahl2_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:cmd.exe deleted successfully.
C:\WINDOWS\system32\cmd.exe moved successfully.
Registry value HKEY_USERS\wahl2_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx deleted successfully.
Registry value HKEY_USERS\wahl2_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\WBhXTAWuFpmNyON deleted successfully.
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 06032013_121943