Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bundespolizeivirus otlpe log (https://www.trojaner-board.de/154359-bundespolizeivirus-otlpe-log.html)

indy85 26.05.2014 06:09
Bundespolizeivirus otlpe log
 
Hallo Zusammen

Ein Freund von mir hat sich auf seinem Windows XP SP3 Rechner den Bundespolizeitvirus eingefangen. Habe im Anhang nun die Log Datei vom OTLPE Scan, leider hat er bei mir aber die extras.txt Datei nicht erstellt. Könnt ihr mir evtl. helfen und die nächsten Schritte erläutern? Danke :-)

Gruss
indy

schrauber 26.05.2014 06:32
Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

indy85 27.05.2014 05:06
ok, hier das log:

OTL Logfile:
Code:
OTL logfile created on: 5/26/2014 7:53:43 AM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 84.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232.88 Gb Total Space | 94.02 Gb Free Space | 40.37% Space Free | Partition Type: NTFS
Drive D: | 7.45 Gb Total Space | 7.45 Gb Free Space | 99.99% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2014/05/17 08:02:48 | 000,186,433 | ---- | M] (Microsoft Corporation) [Auto] -- C:\DOKUME~1\ALLUSE~1\ANWEND~1\2992199F9A\e2gjon.cpp -- (winmgmt)
SRV - [2014/02/23 10:05:26 | 000,440,400 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2014/02/23 10:05:14 | 001,017,424 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2014/02/23 10:05:08 | 000,440,400 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2013/06/12 15:04:57 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2009/12/10 13:40:08 | 000,128,296 | R--- | M] (Swisscom) [Auto] -- C:\Programme\Swisscom\Unlimited Data Manager\DashBoardS.exe -- (UDM Service)
SRV - [2009/11/16 06:41:02 | 001,414,440 | ---- | M] (Swisscom) [Auto] -- C:\Programme\Swisscom\Sesam\BIN\SecMIPService.exe -- (SesamService)
SRV - [2007/06/27 14:04:00 | 000,279,848 | ---- | M] (Nero AG) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2013/12/19 18:45:02 | 000,135,648 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2013/12/19 18:45:02 | 000,090,400 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2013/11/26 16:44:33 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012/08/27 09:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/05/06 05:35:04 | 000,829,152 | R--- | M] (Ralink Technology, Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Drt2870.sys -- (rt2870)
DRV - [2009/12/16 01:37:14 | 000,038,016 | ---- | M] (Advanced Card Systems Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\a38ccid.sys -- (A38CCID)
DRV - [2009/12/10 13:39:32 | 000,061,440 | R--- | M] (Swisscom) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\wtengine.sys -- (wtengine)
DRV - [2009/12/10 12:06:28 | 000,112,640 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbnet.sys -- (ewusbnet)
DRV - [2009/12/10 12:06:28 | 000,102,656 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbfake.sys -- (hwusbfake)
DRV - [2009/12/10 12:06:28 | 000,102,400 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2009/07/20 10:32:06 | 000,286,760 | ---- | M] (Swisscom) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wtsmpflt.sys -- (WtSmpFlt)
DRV - [2009/07/20 10:32:06 | 000,039,720 | ---- | M] (Swisscom) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wtsmpadap.sys -- (wtsmpadap)
DRV - [2007/11/20 12:07:34 | 004,627,456 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007/09/20 13:07:40 | 000,022,016 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2007/09/20 13:07:38 | 000,053,632 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2006/06/14 05:53:00 | 000,029,184 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\usbccid.sys -- (USBCCID)
DRV - [2001/08/17 23:33:54 | 000,908,352 | ---- | M] (Conexant) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HCF_MSFT.sys -- (HCF_MSFT)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.avira.com/?l=dis&o=APN10396&gct=hp&dc=EU&locale=de_CH
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\admin_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.ch/
IE - HKU\admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de
 
IE - HKU\besitzer_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de
IE - HKU\besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de
 
IE - HKU\Paul_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
IE - HKU\Paul_ON_C\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\Paul_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Strohhotel_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.ch/
IE - HKU\Strohhotel_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\5.1.30214.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.24.7\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.24.7\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{E4D8AFFF-DA7C-412F-A976-05ED142C7806}: C:\Programme\Swisscom\Unlimited Data Manager\FireFox_Remote\ [2010/05/31 07:22:20 | 000,000,000 | ---D | M]
 
 
O1 HOSTS File: ([2010/08/03 09:11:58 | 000,418,170 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: 127.0.0.1        www.007guard.com
O1 - Hosts: 127.0.0.1        007guard.com
O1 - Hosts: 127.0.0.1        008i.com
O1 - Hosts: 127.0.0.1        www.008k.com
O1 - Hosts: 127.0.0.1        008k.com
O1 - Hosts: 127.0.0.1        www.00hq.com
O1 - Hosts: 127.0.0.1        00hq.com
O1 - Hosts: 127.0.0.1        010402.com
O1 - Hosts: 127.0.0.1        www.032439.com
O1 - Hosts: 127.0.0.1        032439.com
O1 - Hosts: 127.0.0.1        www.1001-search.info
O1 - Hosts: 127.0.0.1        1001-search.info
O1 - Hosts: 127.0.0.1        www.100888290cs.com
O1 - Hosts: 127.0.0.1        100888290cs.com
O1 - Hosts: 127.0.0.1        www.100sexlinks.com
O1 - Hosts: 127.0.0.1        100sexlinks.com
O1 - Hosts: 127.0.0.1        www.10sek.com
O1 - Hosts: 127.0.0.1        10sek.com
O1 - Hosts: 127.0.0.1        www.123topsearch.com
O1 - Hosts: 127.0.0.1        123topsearch.com
O1 - Hosts: 127.0.0.1        www.132.com
O1 - Hosts: 127.0.0.1        132.com
O1 - Hosts: 127.0.0.1        www.136136.net
O1 - Hosts: 127.0.0.1        136136.net
O1 - Hosts: 14438 more lines...
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\Paul_ON_C\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\Strohhotel_ON_C\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKU\Paul_ON_C..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKU\Paul_ON_C..\Run: [ctfmon32.exe]  File not found
O4 - HKU\Administrator_ON_C..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe (Nero AG)
O4 - HKU\besitzer_ON_C..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe (Nero AG)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SmartCard Status.lnk = C:\Programme\Swiss Post\Post SuisseID\cv act sc interface\RegisterTool.exe (cv cryptovision GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\Paul\Startmenü\Programme\Autostart\nojg2e.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Strohhotel\Startmenü\Programme\Autostart\nojg2e.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Paul_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Strohhotel_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203675833453 (MUWebControl Class)
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} hxxp://www.adobe.com/products/acrobat/nos/gp.cab (get_atlcom Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper:
O24 - Desktop BackupWallPaper:
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004/08/20 15:33:18 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{62babf12-6c8c-11df-99ad-0019992cbc43}\Shell - "" = AutoRun
O33 - MountPoints2\{62babf12-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{62babf12-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{62babf15-6c8c-11df-99ad-0019992cbc43}\Shell - "" = AutoRun
O33 - MountPoints2\{62babf15-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{62babf15-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{62babf16-6c8c-11df-99ad-0019992cbc43}\Shell - "" = AutoRun
O33 - MountPoints2\{62babf16-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{62babf16-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{62babf17-6c8c-11df-99ad-0019992cbc43}\Shell - "" = AutoRun
O33 - MountPoints2\{62babf17-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{62babf17-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{97a54fc5-2478-11de-96e5-0019992cbc43}\Shell - "" = AutoRun
O33 - MountPoints2\{97a54fc5-2478-11de-96e5-0019992cbc43}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{97a54fc5-2478-11de-96e5-0019992cbc43}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{c2832eea-fcc5-11dc-935e-0019992cbc43}\Shell\AutoRun\command - "" = E:\Programs\nu2menu\nu2menu.exe
O33 - MountPoints2\{e3b67ca4-1927-11de-96c6-0019992cbc43}\Shell - "" = AutoRun
O33 - MountPoints2\{e3b67ca4-1927-11de-96c6-0019992cbc43}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e3b67ca4-1927-11de-96c6-0019992cbc43}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2014/05/25 15:36:03 | 000,000,000 | -HSD | C] -- C:\found.000
[2014/05/17 08:02:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2992199F9A
[2013/06/04 17:32:02 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2014/05/25 17:35:16 | 000,000,150 | RHS- | M] () -- C:\boot.ini
[2014/05/25 15:42:08 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2014/05/25 10:25:45 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2014/05/25 08:57:16 | 000,000,836 | ---- | M] () -- C:\Dokumente und Einstellungen\Strohhotel\Startmenü\Programme\Autostart\nojg2e.lnk
[2014/05/17 08:02:50 | 000,000,836 | ---- | M] () -- C:\Dokumente und Einstellungen\Paul\Startmenü\Programme\Autostart\nojg2e.lnk
[2014/05/10 02:57:39 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore1cf6c1d21aaad5e.job
[2014/05/01 13:05:08 | 002,962,728 | ---- | M] () -- C:\Dokumente und Einstellungen\Paul\Desktop\1398963821_generic_map.pdf
[2014/04/30 04:13:01 | 006,022,144 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mshtml.dll
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2014/05/25 08:57:16 | 000,000,836 | ---- | C] () -- C:\Dokumente und Einstellungen\Strohhotel\Startmenü\Programme\Autostart\nojg2e.lnk
[2014/05/17 08:02:50 | 000,000,836 | ---- | C] () -- C:\Dokumente und Einstellungen\Paul\Startmenü\Programme\Autostart\nojg2e.lnk
[2014/05/10 02:57:39 | 000,001,086 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore1cf6c1d21aaad5e.job
[2014/05/01 13:05:08 | 002,962,728 | ---- | C] () -- C:\Dokumente und Einstellungen\Paul\Desktop\1398963821_generic_map.pdf
[2013/06/04 17:32:06 | 000,003,047 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ov32.js
[2013/06/04 17:32:02 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ov32.pad
[2013/04/16 15:16:20 | 001,072,544 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2013/04/16 15:16:20 | 001,072,544 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2013/04/16 15:16:20 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2013/02/27 10:59:40 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1713986.pad
[2013/02/09 10:07:28 | 000,002,944 | ---- | C] () -- C:\WINDOWS\BRPARAM.INI
[2013/02/09 10:07:09 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\BRTCPCON.DLL
[2013/02/09 10:07:05 | 000,000,114 | ---- | C] () -- C:\WINDOWS\System32\BRLMW03A.INI
[2013/02/07 23:03:08 | 002,816,504 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2012/02/16 16:08:39 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/05/07 04:22:27 | 000,014,051 | R--- | C] () -- C:\WINDOWS\System32\RaCoInst.dat
[2010/06/12 11:47:16 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009/08/22 07:53:35 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2008/08/19 05:25:05 | 000,241,664 | ---- | C] () -- C:\WINDOWS\System32\PB.DLL
[2008/08/19 05:25:05 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\PCDialer.dll
[2008/08/19 05:25:01 | 000,000,946 | ---- | C] () -- C:\WINDOWS\atlas.ini
[2008/08/19 05:25:00 | 000,006,127 | ---- | C] () -- C:\WINDOWS\TelCD.ini
[2008/05/13 17:37:00 | 000,385,024 | ---- | C] () -- C:\WINDOWS\System32\Uninstall Netlog Photo Tool.exe
[2008/04/26 05:33:45 | 000,064,000 | ---- | C] () -- C:\WINDOWS\unleap.exe
[2008/03/31 13:03:17 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Paul\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/03/31 08:59:21 | 000,000,678 | ---- | C] () -- C:\Dokumente und Einstellungen\Paul\Beispielbilder.lnk
[2008/03/31 08:30:58 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Strohhotel\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/03/29 05:25:03 | 000,000,376 | ---- | C] () -- C:\WINDOWS\mozregistry.dat
[2008/03/28 12:43:18 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008/03/28 12:43:18 | 000,000,063 | ---- | C] () -- C:\WINDOWS\mdm.ini
[2008/03/28 12:43:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NSREX.INI
[2008/02/22 13:10:38 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2008/02/22 13:10:38 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2008/02/22 13:10:38 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2008/02/22 13:10:37 | 001,478,656 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2008/02/22 13:10:37 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2008/02/22 13:10:37 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2008/02/22 13:10:37 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2008/02/22 13:10:36 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2008/02/22 13:10:35 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2008/02/22 10:47:54 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2008/02/22 10:47:54 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2008/02/22 10:47:54 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2008/02/22 10:47:54 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2008/02/22 10:47:54 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2008/02/22 10:47:54 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2008/02/22 10:34:34 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2008/02/22 10:15:06 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/02/22 04:31:33 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\besitzer\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/02/22 04:12:54 | 000,001,732 | ---- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin
[2007/07/18 07:30:21 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2007/07/18 07:02:09 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005/04/28 08:32:29 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2004/08/20 16:22:17 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004/08/20 16:21:04 | 000,269,392 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2004/08/20 15:44:06 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004/08/20 15:39:16 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2004/08/20 15:28:14 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004/08/20 15:07:59 | 000,459,588 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/20 15:07:59 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/20 15:07:59 | 000,084,960 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/20 15:07:59 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/20 15:07:41 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/20 15:07:38 | 000,441,696 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/20 15:07:38 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/20 15:07:38 | 000,071,632 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/20 15:07:38 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/20 15:07:37 | 000,004,711 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/20 15:07:36 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/08/20 15:07:34 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004/08/20 15:07:28 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/20 15:07:28 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/20 15:07:19 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/20 15:07:13 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[1999/01/22 14:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
 
========== LOP Check ==========
 
[2008/03/28 09:40:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
[2013/03/02 12:07:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\AVG7
[2008/03/31 08:20:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Canon
[2008/02/22 10:50:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\InterVideo
[2013/03/02 12:50:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\AskToolbar
[2013/03/02 12:07:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\AVG7
[2014/05/17 07:52:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\CallingID
[2008/04/08 14:05:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\Canon
[2011/04/06 07:40:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\FileZilla
[2009/04/27 08:10:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\ICAClient
[2008/04/07 15:54:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\InterVideo
[2012/10/18 05:50:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Strohhotel\Anwendungsdaten\AskToolbar
[2013/03/02 12:07:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Strohhotel\Anwendungsdaten\AVG7
[2013/06/15 12:37:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Strohhotel\Anwendungsdaten\CallingID
[2008/10/12 13:50:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Strohhotel\Anwendungsdaten\Canon
[2010/12/03 15:56:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Strohhotel\Anwendungsdaten\FileZilla
[2009/07/10 03:24:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Strohhotel\Anwendungsdaten\ICAClient
[2013/02/09 09:53:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Strohhotel\Anwendungsdaten\TeamViewer
[2014/05/25 10:24:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2992199F9A
[2013/03/02 12:07:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
[2010/05/31 07:23:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Local
[2010/08/03 08:56:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011/03/03 04:20:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDM
[2010/05/31 07:21:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDM_17491
[2011/04/06 07:39:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WtDashboard
[2014/04/06 05:28:00 | 000,000,214 | ---- | M] () -- C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job
[2013/06/12 16:18:00 | 000,000,224 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
[2013/06/12 14:49:47 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{93792E5A-C1D3-4906-BECC-E0963EFD8FC2}.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
< End of report >
--- --- ---

ich habe nun den trojaner mit hitmanpro entfernen können, keine ahnung ob der wirklich weg ist. sieht ihr was im neuen otlpe log, muss ich noch was unternehmen? werde jetzt natürlich noch alle programme (java, flash, adobe reader usw.) updaten und einen scan mit dem antivirus durchlaufen lassen.

OTL Logfile:
Code:
OTL logfile created on: 5/27/2014 9:59:42 AM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 84.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232.88 Gb Total Space | 92.49 Gb Free Space | 39.72% Space Free | Partition Type: NTFS
Drive D: | 7.45 Gb Total Space | 7.30 Gb Free Space | 98.01% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2014/02/23 10:05:26 | 000,440,400 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2014/02/23 10:05:14 | 001,017,424 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2014/02/23 10:05:08 | 000,440,400 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2013/06/12 15:04:57 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2009/12/10 13:40:08 | 000,128,296 | R--- | M] (Swisscom) [Auto] -- C:\Programme\Swisscom\Unlimited Data Manager\DashBoardS.exe -- (UDM Service)
SRV - [2009/11/16 06:41:02 | 001,414,440 | ---- | M] (Swisscom) [Auto] -- C:\Programme\Swisscom\Sesam\BIN\SecMIPService.exe -- (SesamService)
SRV - [2007/06/27 14:04:00 | 000,279,848 | ---- | M] (Nero AG) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2013/12/19 18:45:02 | 000,135,648 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2013/12/19 18:45:02 | 000,090,400 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2013/11/26 16:44:33 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012/08/27 09:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/05/06 05:35:04 | 000,829,152 | R--- | M] (Ralink Technology, Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Drt2870.sys -- (rt2870)
DRV - [2009/12/16 01:37:14 | 000,038,016 | ---- | M] (Advanced Card Systems Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\a38ccid.sys -- (A38CCID)
DRV - [2009/12/10 13:39:32 | 000,061,440 | R--- | M] (Swisscom) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\wtengine.sys -- (wtengine)
DRV - [2009/12/10 12:06:28 | 000,112,640 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbnet.sys -- (ewusbnet)
DRV - [2009/12/10 12:06:28 | 000,102,656 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbfake.sys -- (hwusbfake)
DRV - [2009/12/10 12:06:28 | 000,102,400 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2009/07/20 10:32:06 | 000,286,760 | ---- | M] (Swisscom) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wtsmpflt.sys -- (WtSmpFlt)
DRV - [2009/07/20 10:32:06 | 000,039,720 | ---- | M] (Swisscom) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wtsmpadap.sys -- (wtsmpadap)
DRV - [2007/11/20 12:07:34 | 004,627,456 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007/09/20 13:07:40 | 000,022,016 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2007/09/20 13:07:38 | 000,053,632 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2006/06/14 05:53:00 | 000,029,184 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\usbccid.sys -- (USBCCID)
DRV - [2001/08/17 23:33:54 | 000,908,352 | ---- | M] (Conexant) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HCF_MSFT.sys -- (HCF_MSFT)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.avira.com/?l=dis&o=APN10396&gct=hp&dc=EU&locale=de_CH
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\admin_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.ch/
IE - HKU\admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de
 
IE - HKU\besitzer_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de
IE - HKU\besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de
 
IE - HKU\Paul_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
IE - HKU\Paul_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Strohhotel_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.ch/
IE - HKU\Strohhotel_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\5.1.30214.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.24.7\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.24.7\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{E4D8AFFF-DA7C-412F-A976-05ED142C7806}: C:\Programme\Swisscom\Unlimited Data Manager\FireFox_Remote\ [2010/05/31 07:22:20 | 000,000,000 | ---D | M]
 
 
O1 HOSTS File: ([2010/08/03 09:11:58 | 000,418,170 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: 127.0.0.1        www.007guard.com
O1 - Hosts: 127.0.0.1        007guard.com
O1 - Hosts: 127.0.0.1        008i.com
O1 - Hosts: 127.0.0.1        www.008k.com
O1 - Hosts: 127.0.0.1        008k.com
O1 - Hosts: 127.0.0.1        www.00hq.com
O1 - Hosts: 127.0.0.1        00hq.com
O1 - Hosts: 127.0.0.1        010402.com
O1 - Hosts: 127.0.0.1        www.032439.com
O1 - Hosts: 127.0.0.1        032439.com
O1 - Hosts: 127.0.0.1        www.1001-search.info
O1 - Hosts: 127.0.0.1        1001-search.info
O1 - Hosts: 127.0.0.1        www.100888290cs.com
O1 - Hosts: 127.0.0.1        100888290cs.com
O1 - Hosts: 127.0.0.1        www.100sexlinks.com
O1 - Hosts: 127.0.0.1        100sexlinks.com
O1 - Hosts: 127.0.0.1        www.10sek.com
O1 - Hosts: 127.0.0.1        10sek.com
O1 - Hosts: 127.0.0.1        www.123topsearch.com
O1 - Hosts: 127.0.0.1        123topsearch.com
O1 - Hosts: 127.0.0.1        www.132.com
O1 - Hosts: 127.0.0.1        132.com
O1 - Hosts: 127.0.0.1        www.136136.net
O1 - Hosts: 127.0.0.1        136136.net
O1 - Hosts: 14438 more lines...
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKU\Paul_ON_C..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKU\Paul_ON_C..\Run: [ctfmon32.exe]  File not found
O4 - HKU\Administrator_ON_C..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe (Nero AG)
O4 - HKU\besitzer_ON_C..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe (Nero AG)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SmartCard Status.lnk = C:\Programme\Swiss Post\Post SuisseID\cv act sc interface\RegisterTool.exe (cv cryptovision GmbH)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Paul_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Strohhotel_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203675833453 (MUWebControl Class)
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} hxxp://www.adobe.com/products/acrobat/nos/gp.cab (get_atlcom Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.0.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper:
O24 - Desktop BackupWallPaper:
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004/08/20 15:33:18 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{62babf12-6c8c-11df-99ad-0019992cbc43}\Shell - "" = AutoRun
O33 - MountPoints2\{62babf12-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{62babf12-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{62babf15-6c8c-11df-99ad-0019992cbc43}\Shell - "" = AutoRun
O33 - MountPoints2\{62babf15-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{62babf15-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{62babf16-6c8c-11df-99ad-0019992cbc43}\Shell - "" = AutoRun
O33 - MountPoints2\{62babf16-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{62babf16-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{62babf17-6c8c-11df-99ad-0019992cbc43}\Shell - "" = AutoRun
O33 - MountPoints2\{62babf17-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{62babf17-6c8c-11df-99ad-0019992cbc43}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{97a54fc5-2478-11de-96e5-0019992cbc43}\Shell - "" = AutoRun
O33 - MountPoints2\{97a54fc5-2478-11de-96e5-0019992cbc43}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{97a54fc5-2478-11de-96e5-0019992cbc43}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{c2832eea-fcc5-11dc-935e-0019992cbc43}\Shell\AutoRun\command - "" = E:\Programs\nu2menu\nu2menu.exe
O33 - MountPoints2\{e3b67ca4-1927-11de-96c6-0019992cbc43}\Shell - "" = AutoRun
O33 - MountPoints2\{e3b67ca4-1927-11de-96c6-0019992cbc43}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e3b67ca4-1927-11de-96c6-0019992cbc43}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (bootdelete) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2014/05/26 20:09:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HitmanPro
[2014/05/25 15:36:03 | 000,000,000 | -HSD | C] -- C:\found.000
[2014/05/17 08:02:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2992199F9A
[2013/06/04 17:32:02 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2014/05/26 20:38:50 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2014/05/26 20:35:59 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2014/05/26 20:35:20 | 1877,454,848 | -HS- | M] () -- C:\hiberfil.sys
[2014/05/26 20:22:44 | 000,037,006 | ---- | M] () -- C:\WINDOWS\System32\.crusader
[2014/05/25 17:35:16 | 000,000,150 | RHS- | M] () -- C:\boot.ini
[2014/05/10 02:57:39 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore1cf6c1d21aaad5e.job
[2014/05/01 13:05:08 | 002,962,728 | ---- | M] () -- C:\Dokumente und Einstellungen\Paul\Desktop\1398963821_generic_map.pdf
[2014/04/30 04:13:01 | 006,022,144 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mshtml.dll
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2014/05/26 20:22:44 | 000,037,006 | ---- | C] () -- C:\WINDOWS\System32\.crusader
[2014/05/26 15:36:48 | 1877,454,848 | -HS- | C] () -- C:\hiberfil.sys
[2014/05/10 02:57:39 | 000,001,086 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore1cf6c1d21aaad5e.job
[2014/05/01 13:05:08 | 002,962,728 | ---- | C] () -- C:\Dokumente und Einstellungen\Paul\Desktop\1398963821_generic_map.pdf
[2013/06/04 17:32:06 | 000,003,047 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ov32.js
[2013/06/04 17:32:02 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ov32.pad
[2013/04/16 15:16:20 | 001,072,544 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2013/04/16 15:16:20 | 001,072,544 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2013/04/16 15:16:20 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2013/02/27 10:59:40 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1713986.pad
[2013/02/09 10:07:28 | 000,002,944 | ---- | C] () -- C:\WINDOWS\BRPARAM.INI
[2013/02/09 10:07:09 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\BRTCPCON.DLL
[2013/02/09 10:07:05 | 000,000,114 | ---- | C] () -- C:\WINDOWS\System32\BRLMW03A.INI
[2013/02/07 23:03:08 | 002,816,504 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2012/02/16 16:08:39 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/05/07 04:22:27 | 000,014,051 | R--- | C] () -- C:\WINDOWS\System32\RaCoInst.dat
[2010/06/12 11:47:16 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009/08/22 07:53:35 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2008/08/19 05:25:05 | 000,241,664 | ---- | C] () -- C:\WINDOWS\System32\PB.DLL
[2008/08/19 05:25:05 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\PCDialer.dll
[2008/08/19 05:25:01 | 000,000,946 | ---- | C] () -- C:\WINDOWS\atlas.ini
[2008/08/19 05:25:00 | 000,006,127 | ---- | C] () -- C:\WINDOWS\TelCD.ini
[2008/05/13 17:37:00 | 000,385,024 | ---- | C] () -- C:\WINDOWS\System32\Uninstall Netlog Photo Tool.exe
[2008/04/26 05:33:45 | 000,064,000 | ---- | C] () -- C:\WINDOWS\unleap.exe
[2008/03/31 13:03:17 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Paul\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/03/31 08:59:21 | 000,000,678 | ---- | C] () -- C:\Dokumente und Einstellungen\Paul\Beispielbilder.lnk
[2008/03/31 08:30:58 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Strohhotel\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/03/29 05:25:03 | 000,000,376 | ---- | C] () -- C:\WINDOWS\mozregistry.dat
[2008/03/28 12:43:18 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008/03/28 12:43:18 | 000,000,063 | ---- | C] () -- C:\WINDOWS\mdm.ini
[2008/03/28 12:43:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NSREX.INI
[2008/02/22 13:10:38 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2008/02/22 13:10:38 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2008/02/22 13:10:38 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2008/02/22 13:10:37 | 001,478,656 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2008/02/22 13:10:37 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2008/02/22 13:10:37 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2008/02/22 13:10:37 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2008/02/22 13:10:36 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2008/02/22 13:10:35 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2008/02/22 10:47:54 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2008/02/22 10:47:54 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2008/02/22 10:47:54 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2008/02/22 10:47:54 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2008/02/22 10:47:54 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2008/02/22 10:47:54 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2008/02/22 10:34:34 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2008/02/22 10:15:06 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/02/22 04:31:33 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\besitzer\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/02/22 04:12:54 | 000,001,732 | ---- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin
[2007/07/18 07:30:21 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2007/07/18 07:02:09 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005/04/28 08:32:29 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2004/08/20 16:22:17 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004/08/20 16:21:04 | 000,269,392 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2004/08/20 15:44:06 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004/08/20 15:39:16 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2004/08/20 15:28:14 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004/08/20 15:07:59 | 000,459,588 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/20 15:07:59 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/20 15:07:59 | 000,084,960 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/20 15:07:59 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/20 15:07:41 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/20 15:07:38 | 000,441,696 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/20 15:07:38 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/20 15:07:38 | 000,071,632 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/20 15:07:38 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/20 15:07:37 | 000,004,711 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/20 15:07:36 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/08/20 15:07:34 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004/08/20 15:07:28 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/20 15:07:28 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/20 15:07:19 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/20 15:07:13 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[1999/01/22 14:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
 
========== LOP Check ==========
 
[2013/03/02 12:07:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\AVG7
[2008/03/31 08:20:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Canon
[2008/02/22 10:50:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\InterVideo
[2008/03/28 09:40:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
[2013/03/02 12:07:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\AVG7
[2014/05/17 07:52:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\CallingID
[2008/04/08 14:05:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\Canon
[2011/04/06 07:40:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\FileZilla
[2009/04/27 08:10:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\ICAClient
[2008/04/07 15:54:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\InterVideo
[2013/03/02 12:07:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Strohhotel\Anwendungsdaten\AVG7
[2013/06/15 12:37:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Strohhotel\Anwendungsdaten\CallingID
[2008/10/12 13:50:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Strohhotel\Anwendungsdaten\Canon
[2010/12/03 15:56:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Strohhotel\Anwendungsdaten\FileZilla
[2009/07/10 03:24:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Strohhotel\Anwendungsdaten\ICAClient
[2013/02/09 09:53:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Strohhotel\Anwendungsdaten\TeamViewer
[2014/05/26 20:22:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2992199F9A
[2013/03/02 12:07:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
[2014/05/26 20:22:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HitmanPro
[2010/05/31 07:23:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Local
[2010/08/03 08:56:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011/03/03 04:20:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDM
[2010/05/31 07:21:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDM_17491
[2011/04/06 07:39:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WtDashboard
[2014/04/06 05:28:00 | 000,000,214 | ---- | M] () -- C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job
[2013/06/12 14:49:47 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{93792E5A-C1D3-4906-BECC-E0963EFD8FC2}.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
< End of report >
--- --- ---

schrauber 27.05.2014 18:32

Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
:OTL
O4 - HKU\Paul_ON_C..\Run: [ctfmon32.exe]  File not found
O4 - Startup: C:\Dokumente und Einstellungen\Paul\Startmenü\Programme\Autostart\nojg2e.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Strohhotel\Startmenü\Programme\Autostart\nojg2e.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
[2014/05/17 08:02:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2992199F9A
[2013/06/04 17:32:02 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


Rechner normal starten.

indy85 28.05.2014 05:36
ok, ist gemacht, hier das logfile:

Code:
========== OTL ==========
Registry key HKEY_USERS\Paul_ON_C\Software\Microsoft\Windows\CurrentVersion\Run not found.
File move failed. C:\Dokumente und Einstellungen\Paul\Startmenü\Programme\Autostart\nojg2e.lnk scheduled to be moved on reboot.
File X:\I386\SYSTEM32\RUNDLL32.EXE not found.
File move failed. C:\Dokumente und Einstellungen\Strohhotel\Startmenü\Programme\Autostart\nojg2e.lnk scheduled to be moved on reboot.
File X:\I386\SYSTEM32\RUNDLL32.EXE not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2992199F9A folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 05272014_215054

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\Paul\Startmenü\Programme\Autostart\nojg2e.lnk not found!
File\Folder C:\Dokumente und Einstellungen\Strohhotel\Startmenü\Programme\Autostart\nojg2e.lnk not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

schrauber 28.05.2014 19:32
Startet der Rechner normal?

indy85 28.05.2014 20:30
ja, scheint jetzt wieder normal zu funktionieren. danke dir viel mals. muss ich noch was beachten? hab jetzt noch alle programme auf den neusten stand gebracht und nen virenscan durchgeführt.

schrauber 29.05.2014 16:47
Ab jetzt im normalen Modus:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


indy85 02.06.2014 16:52
leider musste ich den pc wieder abgeben, kann also momentan die logs nicht hier posten. werde dies aber tun, sobald ich wieder zugang zum pc habe.

schrauber 03.06.2014 12:22
ok :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131