Malwarebytes log posten

#1 Hallo,

ich habe bei einem mit Microsoft Security Essentials folgenden Trojaner gefunden:
Win32/Meredrop

Nach einer Forensuche bin ich auf malwarebytes gestoßen und habe einen Scan durchgeführt und die log Dateien gespeichert.

Ich kenne mich leider überhaupt nicht aus.
Wie verfahre ich denn jetzt weiter?

Beste Grüße

#2 zur Konkretisierung.

Ich habe den Scan heute gemacht, da sich bei mir mehrfach der Windows Explorer geschlossen hat und danach nicht wieder hoch gefahren wurde.

Nach einem ersten Scan wurde der Trojaner entdeckt. Habe ich lt. den Anweisungen gelöscht und dachte, damit wäre es getan.
Beim erneuten Hochfahren des Rechners bekam ich zwei Hinweise zu run.dll Dateien, die nicht gefunden werden konnten. Das Modul konnte nicht geladen werden

Für Hinweise bin ich dankbar.

#3 Hi

Dann poste mal bitte das Log vom ersten Scan, zu finden in Malwarebytes unter dem Reiter "Logdateien".

Welche Probleme bleiben im Moment, abgesehen von den zwei Hinweisen?

#4 Hallo,

danke. Also weitere Probleme habe ich jetzt im Augenblick nicht. Natürlich kann ich nicht abschätzen, ob das jetzt gut oder schlecht ist.

Hier das Log


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8253

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.19088

27.11.2011 22:11:53
mbam-log-2011-11-27 (22-11-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 167982
Laufzeit: 18 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NvCplDaemonTool (Trojan.Agent.WIMP) -> Value: NvCplDaemonTool -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\redblunted\AppData\Local\Temp\wpbt0.dll (Trojan.FakeMS) -> No action taken.
c:\Users\redblunted\AppData\Local\Temp\wpbt1.dll (Trojan.FakeMS) -> No action taken.
c:\Users\redblunted\downloads\everest poker.exe (PUP.Casino) -> No action taken.
c:\Users\redblunted\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\scandisk.lnk (Trojan.Downloader) -> No action taken.

#5

Zitat

Beim erneuten Hochfahren des Rechners bekam ich zwei Hinweise zu run.dll Dateien, die nicht gefunden werden konnten.

Die heißen auch wirklich so - run.dll? Weil ich genaue Namen bräuchte, wenn nicht.

1. Lade aswmbr von avast! herunter
http://public.avast.com/~gmerek/aswMBR.exe
Starte das Programm
Wähle "Nein" bei der Frage nach avast-Engine.
Klicke auf Scan
Klicke nach dem Scan auf Save Log, speichere es ab und poste es hier (nichts "Fixen")

2. OTL
http://oldtimer.geekstogo.com/OTL.exe
Starte das Programm, setze Häckchen bei "Scanne alle Benutzer", "LOP Prüfung" und "Purity Prüfung", kopiere unten in das Script-Feld rein:

Zitat

msconfig
safebootminimal
msconfig
netsvcs

und klicke auf Scan. Poste die OTL.txt und Extras.txt

#6 Danke für den Tipp!

Du hast übrigens recht. Kein run.dll. Korrekte Meldung:

Fehler beim Laden von C:\Users\REDBLU~1\tload98.dll

Gestern hatte ich allerdings noch zwei Meldungen.

Hier der Log


aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-28 18:45:03
-----------------------------
18:45:03.951 OS Version: Windows 6.0.6001 Service Pack 1
18:45:03.951 Number of processors: 2 586 0xF0D
18:45:03.954 ComputerName: SEED UserName:
18:46:48.940 Initialze error 0 - driver not loaded
18:48:05.765 AVAST engine defs: 11112801
18:48:11.257 Scan error: Unzulässige Funktion.
18:48:33.527 The log file has been saved successfully to "C:\Users\redblunted\Downloads\aswMBR.txt"


aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-28 18:48:52
-----------------------------
18:48:52.950 OS Version: Windows 6.0.6001 Service Pack 1
18:48:52.950 Number of processors: 2 586 0xF0D
18:48:52.954 ComputerName: SEED UserName:
18:48:55.137 Initialize success
18:49:03.232 AVAST engine defs: 11112801
18:49:04.787 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-3
18:49:04.791 Disk 0 Vendor: ST3360320AS 3.AAM Size: 343399MB BusType: 3
18:49:06.820 Disk 0 MBR read successfully
18:49:06.824 Disk 0 MBR scan
18:49:06.864 Disk 0 Windows VISTA default MBR code
18:49:06.880 Disk 0 scanning sectors +703280560
18:49:06.981 Disk 0 scanning C:\Windows\system32\drivers
18:49:37.495 Service scanning
18:49:39.533 Service MpKsldb9a6816 c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{3BAC0731-D380-48AC-9ED9-0DB4575A326B}\MpKsldb9a6816.sys **LOCKED** 32
18:49:39.586 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
18:49:40.604 Modules scanning
18:49:49.388 Disk 0 trace - called modules:
18:49:49.408 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
18:49:49.798 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85416ac8]
18:49:49.809 3 CLASSPNP.SYS[881aa745] -> nt!IofCallDriver -> [0x84c13838]
18:49:49.818 5 acpi.sys[826a06a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-3[0x84c13960]
18:49:52.808 AVAST engine scan C:\Windows
18:50:00.510 AVAST engine scan C:\Windows\system32
18:55:08.592 AVAST engine scan C:\Windows\system32\drivers
18:55:40.993 AVAST engine scan C:\Users\redblunted
19:02:09.893 File: C:\Users\redblunted\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0WCB8J5M\readme[1].exe **INFECTED** Win32:Sinowal-KM [Trj]
19:02:32.673 File: C:\Users\redblunted\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\N6DRCGVC\contacts[1].exe **INFECTED** Win32:Sinowal-KM [Trj]
19:03:01.470 File: C:\Users\redblunted\AppData\Local\Temp\3ABF.tmp **INFECTED** Win32:Sinowal-KM [Trj]
19:03:38.539 File: C:\Users\redblunted\AppData\Local\Temp\wpbt0.dll **INFECTED** Win32:Sinowal-KM [Trj]
19:03:42.529 File: C:\Users\redblunted\AppData\Local\Temp\wpbt1.dll **INFECTED** Win32:Sinowal-KM [Trj]
19:19:16.448 AVAST engine scan C:\ProgramData
19:24:51.019 Scan finished successfully
19:40:25.654 Disk 0 MBR has been saved successfully to "C:\Users\redblunted\Downloads\MBR.dat"
19:40:25.671 The log file has been saved successfully to "C:\Users\redblunted\Downloads\aswMBR.txt"

#7 Hier einmal der OTL.txt

OTL logfile created on: 28.11.2011 19:44:47 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Users\redblunted\Downloads
Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19088)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 0,91 Gb Available Physical Memory | 45,39% Memory free
4,23 Gb Paging File | 2,78 Gb Available in Paging File | 65,65% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 327,35 Gb Total Space | 28,24 Gb Free Space | 8,63% Space Free | Partition Type: NTFS
Drive J: | 4,20 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF

Computer Name: SEED | User Name: redblunted | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - [2011.11.28 19:43:46 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Users\redblunted\Downloads\OTL.exe
PRC - [2011.11.28 18:44:52 | 001,916,416 | ---- | M] (AVAST Software) -- C:\Users\redblunted\Downloads\aswMBR.exe
PRC - [2011.11.15 06:39:56 | 001,036,344 | ---- | M] (Google Inc.) -- C:\Programme\Google\Chrome\Application\chrome.exe
PRC - [2011.08.31 17:00:48 | 000,449,608 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2011.08.31 17:00:48 | 000,366,152 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2011.06.15 16:33:20 | 000,249,648 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft\BingBar\SeaPort.EXE
PRC - [2011.06.15 14:16:48 | 000,997,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2011.04.27 14:39:26 | 000,208,944 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\Antimalware\NisSrv.exe
PRC - [2011.04.27 14:39:26 | 000,011,736 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
PRC - [2010.04.16 22:12:28 | 003,872,080 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Live\Messenger\msnmsgr.exe
PRC - [2008.10.29 07:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2008.06.05 09:19:18 | 000,479,232 | ---- | M] (Nikon Corporation) -- C:\Programme\Common Files\Nikon\Monitor\NkMonitor.exe
PRC - [2008.03.20 14:35:04 | 000,023,040 | ---- | M] (Creative Technology Ltd) -- C:\Windows\System32\CTHELPER.EXE
PRC - [2008.03.18 23:00:05 | 000,180,269 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Common Files\Real\Update_OB\realsched.exe
PRC - [2008.01.18 22:33:40 | 000,896,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2008.01.18 22:33:40 | 000,202,240 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnscfg.exe
PRC - [2007.07.19 14:32:34 | 001,120,568 | ---- | M] (Packard Bell BV) -- C:\Programme\Packard Bell\SetUpMyPC\SmpSys.exe
PRC - [2007.05.10 16:10:00 | 004,468,736 | ---- | M] (Realtek Semiconductor) -- C:\Windows\RtHDVCpl.exe
PRC - [2007.01.09 22:59:52 | 000,115,816 | ---- | M] (Symantec Corporation) -- C:\Programme\Common Files\Symantec Shared\ccApp.exe
PRC - [2007.01.09 22:59:32 | 000,108,648 | ---- | M] (Symantec Corporation) -- C:\Programme\Common Files\Symantec Shared\ccSvcHst.exe


[color=#E56717]========== Modules (No Company Name) ==========[/color]

MOD - [2011.11.15 06:39:54 | 000,420,920 | ---- | M] () -- C:\Programme\Google\Chrome\Application\15.0.874.121\ppgooglenaclpluginchrome.dll
MOD - [2011.11.15 06:39:53 | 003,702,840 | ---- | M] () -- C:\Programme\Google\Chrome\Application\15.0.874.121\pdf.dll
MOD - [2011.11.15 06:38:16 | 000,122,952 | ---- | M] () -- C:\Programme\Google\Chrome\Application\15.0.874.121\avutil-51.dll
MOD - [2011.11.15 06:38:15 | 000,222,280 | ---- | M] () -- C:\Programme\Google\Chrome\Application\15.0.874.121\avformat-53.dll
MOD - [2011.11.15 06:38:14 | 001,746,504 | ---- | M] () -- C:\Programme\Google\Chrome\Application\15.0.874.121\avcodec-53.dll
MOD - [2011.11.15 03:36:18 | 008,593,056 | ---- | M] () -- C:\Programme\Google\Chrome\Application\15.0.874.121\gcswf32.dll


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

#8 und hier die Extras.txt

OTL Extras logfile created on: 28.11.2011 19:44:47 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Users\redblunted\Downloads
Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19088)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 0,91 Gb Available Physical Memory | 45,39% Memory free
4,23 Gb Paging File | 2,78 Gb Available in Paging File | 65,65% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 327,35 Gb Total Space | 28,24 Gb Free Space | 8,63% Space Free | Partition Type: NTFS
Drive J: | 4,20 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF

Computer Name: SEED | User Name: redblunted | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
http [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"

#9 OTL.txt und Extras.txt sehen nicht vollständig aus.

1. Versuch den Scan mit OTL bitte nochmal, starte OTL diesmal mit Rechtsklick "Als Administrator". Stelle vor dem Scan zusätzlich "Extra Registrierung" auf SafeList um.

2. Hol Dir bitte http://jpshortstuff.247fixes.com/SystemLook.exe
Dann starte das Programm, kopiere in das Feld rein:

:regfind
tload98

und klicke auf Look. Das Programm wird ein Log produzieren, poste es bitte.

#10 Ok, hab's noch mal durchlaufen lassen. Diesmal im Anhang, weil die Datei so lang ist.

#11 Und hier noch Extras.txt

#12 SystemLook 30.07.11 by jpshortstuff
Log created at 21:23 on 28/11/2011 by redblunted
Administrator - Elevation successful

========== regfind ==========

Searching for "tload98"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemonTool"="rundll32.exe C:\Users\REDBLU~1\tload98.dll,_IWMPEvents"
[HKEY_USERS\S-1-5-21-3082245035-842810340-864391136-1002\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemonTool"="rundll32.exe C:\Users\REDBLU~1\tload98.dll,_IWMPEvents"

-= EOF =-

#13 1. Starte bitte OTL (Als Administrator), kopiere unten in das Skript-Feld rein:

Zitat

:OTL
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-21-3082245035-842810340-864391136-1002\..\URLSearchHook: - No CLSID value found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
HKU\S-1-5-21-3082245035-842810340-864391136-1002\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O3 - HKU\S-1-5-21-3082245035-842810340-864391136-1002\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: [] File not found

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemonTool"=-
[HKEY_USERS\S-1-5-21-3082245035-842810340-864391136-1002\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemonTool"=-

:Commands
[emptytemp]
[emptyflash]

und klicke auf Fix. Poste bitte das Fix-Log.

2. Eset Online Scanner
http://www.eset.de/onlinescanner
(hier sollte der Browser als Administrator gestartet werden)
Poste bitte nach Ende des Scans das Log, normalerweise zu finden unter C:\Programme\Eset\EsetOnlineScanner\log.txt

#14 Ich hoffe ich hab's jetzt richtig gemacht und dass das das Fix Log ist.


All processes killed
========== OTL ==========
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\URLSearchHooks\\{A3BC75A2-1F87-4686-AA43-5347D756017C} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A3BC75A2-1F87-4686-AA43-5347D756017C}\ not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\URLSearchHooks\\{A3BC75A2-1F87-4686-AA43-5347D756017C} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A3BC75A2-1F87-4686-AA43-5347D756017C}\ not found.
Registry value HKEY_USERS\S-1-5-21-3082245035-842810340-864391136-1002\Software\Microsoft\Internet Explorer\URLSearchHooks\\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{CCC7A320-B3CA-4199-B1A6-9F516DD69829} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\ not found.
Registry value HKEY_USERS\S-1-5-21-3082245035-842810340-864391136-1002\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{CCC7A320-B3CA-4199-B1A6-9F516DD69829} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ not found.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\NvCplDaemonTool not found.
Registry value HKEY_USERS\S-1-5-21-3082245035-842810340-864391136-1002\Software\Microsoft\Windows\CurrentVersion\Run\\NvCplDaemonTool not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: redblunted
->Temp folder emptied: 259535 bytes
->Temporary Internet Files folder emptied: 62810 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 12745385 bytes
->Flash cache emptied: 502 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 65310 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 13,00 mb


[EMPTYFLASH]

User: Default

User: Public

User: redblunted
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 11292011_212607

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

#15 Das ist das Fix-Log, bloß dass nichts gefixt wurde... Hast Du OTL mit Rechtsklick "Als Administrator" gestartet?

Nu ja, ist nicht so tragisch, Temp-Ordner wurden geleert, warten wir mal Eset ab.