Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU Interpol Merkel-Trojaner Windows XP abgesicherter Modus startet nicht

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.09.2013, 11:48   #1
B_Stromberg
 
GVU Interpol Merkel-Trojaner Windows XP abgesicherter Modus startet nicht - Standard

GVU Interpol Merkel-Trojaner Windows XP abgesicherter Modus startet nicht



Liebes Trojaner-Board-Team,

ich habe mir einen GVU-Trojaner eingefangen.
Abgesicherter Modus funktioniert nicht. Er startet zunächst im abgesicherten Modus, dann macht er aber selbstständig wieder einen Neustart.
Windows normal starten bringt sofort den GVU-Screen.

Gemäß der bisherigen Beiträge (http://www.trojaner-board.de/137867-...odus-geht.html) habe ich einen OTLPE Scan durchgeführt und poste hier die OTL.Txt.

Code:
ATTFilter
OTL logfile created on: 9/5/2013 1:29:55 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,014.00 Mb Total Physical Memory | 777.00 Mb Available Physical Memory | 77.00% Memory free
902.00 Mb Paging File | 830.00 Mb Available in Paging File | 92.00% Paging File free
Paging file location(s): C:\pagefile.sys 3048 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 111.79 Gb Total Space | 10.30 Gb Free Space | 9.21% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet003
 
========== Win32 Services (SafeList) ==========
 
SRV - [2013/09/04 15:27:18 | 000,151,956 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\DOKUME~1\ALLUSE~1\ANWEND~1\eqdojzwqm.plz -- (winmgmt)
SRV - [2013/08/17 04:55:30 | 000,117,656 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013/08/15 11:26:56 | 000,257,416 | ---- | M] (Adobe Systems Incorporated) [Disabled] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013/03/06 08:36:52 | 000,093,984 | ---- | M] (Conduit) [Disabled] -- C:\Programme\SearchProtect\bin\CltMngSvc.exe -- (CltMngSvc)
SRV - [2012/12/21 10:27:46 | 000,057,008 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2010/01/09 15:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010/01/09 15:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006/08/11 07:07:58 | 001,402,880 | ---- | M] (Buhl Data Service GmbH) [Auto] -- C:\Programme\Sceneo\Bonavista\Services\PVR\pvrservice.exe -- (srvcPVR)
SRV - [2006/08/10 06:14:50 | 000,770,560 | ---- | M] (ODSoft multimedia) [Disabled] -- C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCService.exe -- (ODSBC)
SRV - [2005/12/20 05:22:14 | 000,035,328 | ---- | M] (TOSHIBA Corp.) [Auto] -- C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe -- (TAPPSRV)
SRV - [2005/11/17 09:18:52 | 001,527,900 | ---- | M] (MAGIX®) [Disabled] -- C:\Programme\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2005/01/17 19:38:38 | 000,040,960 | ---- | M] (TOSHIBA CORPORATION) [Auto] -- C:\Programme\Toshiba\ConfigFree\CFSvcs.exe -- (CFSvcs)
SRV - [2004/03/12 23:04:16 | 000,049,152 | ---- | M] (Ulead Systems, Inc.) [Disabled] -- C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- (UleadBurningHelper)
SRV - [2001/11/12 07:31:48 | 000,020,480 | ---- | M] (X10) [Auto] -- C:\Programme\Common Files\X10\Common\X10nets.exe -- (x10nets)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2012/03/26 08:50:12 | 000,018,432 | ---- | M] (Apple Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\netaapl.sys -- (Netaapl)
DRV - [2009/05/11 04:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008/04/13 14:46:22 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2006/05/30 10:42:52 | 000,045,696 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Tvs.sys -- (Tvs)
DRV - [2006/05/21 23:20:00 | 000,094,460 | ---- | M] (Sonic Solutions) [File_System | Auto] -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS -- (DLAUDFAM)
DRV - [2006/05/21 23:20:00 | 000,088,444 | ---- | M] (Sonic Solutions) [File_System | Auto] -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS -- (DLAUDF_M)
DRV - [2006/05/21 23:20:00 | 000,086,844 | ---- | M] (Sonic Solutions) [File_System | Auto] -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS -- (DLAIFS_M)
DRV - [2006/05/21 23:20:00 | 000,025,724 | ---- | M] (Sonic Solutions) [File_System | Auto] -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS -- (DLABOIOM)
DRV - [2006/05/21 23:20:00 | 000,014,716 | ---- | M] (Sonic Solutions) [File_System | Auto] -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS -- (DLAOPIOM)
DRV - [2006/05/21 23:20:00 | 000,006,364 | ---- | M] (Sonic Solutions) [File_System | Auto] -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS -- (DLAPoolM)
DRV - [2006/05/21 23:20:00 | 000,002,496 | ---- | M] (Sonic Solutions) [File_System | Auto] -- C:\WINDOWS\system32\DLA\DLADResN.SYS -- (DLADResN)
DRV - [2006/03/22 02:56:24 | 001,522,688 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2006/02/08 08:12:00 | 000,217,216 | ---- | M] (eMPIA Technology, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\emBDA.sys -- (USB28xxBGA)
DRV - [2006/02/08 08:12:00 | 000,017,792 | ---- | M] (eMPIA Technology, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\emOEM.sys -- (USB28xxOEM)
DRV - [2005/12/19 11:02:36 | 000,060,572 | R--- | M] (FTDI Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ftser2k.sys -- (FTSER2K)
DRV - [2005/12/19 11:02:36 | 000,028,449 | R--- | M] (FTDI Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ftdibus.sys -- (FTDIBUS)
DRV - [2005/12/09 19:48:40 | 004,123,136 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2005/12/05 04:55:30 | 001,428,096 | ---- | M] (Intel® Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\w39n51.sys -- (w39n51) Intel(R)
DRV - [2005/11/30 13:12:00 | 000,162,560 | ---- | M] (Texas Instruments) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tifm21.sys -- (tifm21)
DRV - [2005/11/28 06:09:26 | 000,013,568 | ---- | M] (Intel Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans)
DRV - [2005/11/28 04:45:16 | 000,007,040 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\x10hid.sys -- (X10Hid)
DRV - [2005/11/15 12:00:22 | 001,122,656 | ---- | M] (Agere Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2005/11/01 11:33:00 | 000,020,736 | ---- | M] (Empia Technology, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\emAudio.sys -- (emAudio)
DRV - [2005/10/20 08:03:42 | 000,006,144 | ---- | M] (Toshiba Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\NBSMI.sys -- (TVALD)
DRV - [2005/09/09 08:47:10 | 000,009,344 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfec.sys -- (tosrfec)
DRV - [2005/08/25 06:16:52 | 000,005,628 | ---- | M] (Sonic Solutions) [File_System | System] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM)
DRV - [2005/08/25 06:16:16 | 000,022,684 | ---- | M] (Sonic Solutions) [File_System | System] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N)
DRV - [2005/05/03 11:34:02 | 000,027,392 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys -- (ElbyCDFL)
DRV - [2003/09/18 19:47:00 | 000,010,368 | ---- | M] (Padus, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\pfc.sys -- (Pfc)
DRV - [2003/01/29 17:35:00 | 000,012,032 | ---- | M] (TOSHIBA Corporation.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\Netdevio.sys -- (Netdevio)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.de/
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Christopher_W_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
IE - HKU\Christopher_W_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\Christopher_W_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com/?ctid=CT3281675&octid=CT3281675&SearchSource=61&CUI=UN37978587625299215&UM=UM_ID&UP=SP11121528-7234-4E63-8461-2E8CCB178388
IE - HKU\Christopher_W_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Christopher_W_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>;*.local
IE - HKU\Christopher_W_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_8_800_94.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\Programme\Microsoft Office\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\Programme\Microsoft Office\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}: C:\Programme\Gemeinsame Dateien\DVDVideoSoft\plugins\ff\ [2013/03/09 12:58:31 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 23.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013/08/17 04:55:14 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 23.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013/08/17 04:55:19 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.8\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2013/08/06 15:48:49 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.8\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2010/05/07 15:28:05 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Extensions
[2010/05/07 17:00:24 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\praruhdy.default\extensions
[2010/05/07 17:00:24 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\praruhdy.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2013/08/17 04:55:14 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\browser\extensions
[2013/08/17 04:55:31 | 000,000,000 | ---D | M] (Default) -- C:\Programme\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
[2009/02/24 15:59:15 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
File not found (No name found) -- C:\PROGRAMME\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}
[2004/09/13 07:20:42 | 008,467,616 | ---- | M] (CambridgeSoft Corp.) -- C:\Programme\mozilla firefox\plugins\NPCDP32.DLL
[2007/05/16 05:30:04 | 000,036,864 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\npSfAppM.dll
 
O1 HOSTS File: ([2004/08/10 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (MSN Suche Toolbar) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\msntb.dll (Microsoft Corporation)
O3 - HKU\Christopher_W_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\Christopher_W_ON_C\..\Toolbar\WebBrowser: (MSN Suche Toolbar) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\msntb.dll (Microsoft Corporation)
O3 - HKU\Christopher_W_ON_C\..\Toolbar\WebBrowser: (entrusted Toolbar) - {E44A1809-4D10-4AB8-B343-3326B64C7CDD} - C:\Programme\entrusted\prxtbent2.dll (Conduit Ltd.)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [SmoothView] C:\Programme\Toshiba\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [TFncKy]  File not found
O4 - HKLM..\Run: [THotkey] C:\Programme\Toshiba\TOSHIBA Applet\THotkey.exe (TOSHIBA)
O4 - HKLM..\Run: [TPSMain] C:\WINDOWS\System32\TPSMain.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [Tvs] C:\Programme\Toshiba\Tvs\TvsTray.exe (TOSHIBA Corporation)
O4 - HKU\.DEFAULT..\Run: [SearchProtect]  File not found
O4 - HKU\Administrator_ON_C..\Run: [TOSCDSPD] C:\Programme\Toshiba\TOSCDSPD\TOSCDSPD.exe (TOSHIBA)
O4 - HKU\LocalService_ON_C..\Run: [4E3E0230AEBB4E96]  File not found
O4 - HKU\NetworkService_ON_C..\Run: [4E3E0230AEBB4E96]  File not found
O4 - HKLM..\RunServices: [GraphicsAccelerators]  File not found
O4 - HKLM..\RunServices: [mscorierMicrosoft]  File not found
O4 - HKLM..\RunServices: [SoftwareLink]  File not found
O4 - HKLM..\RunServices: [softwareSoftware1003]  File not found
O4 - HKLM..\RunServices: [SoftwareUpdateLocalizedSoftwareUpdarteLocalized]  File not found
O4 - HKLM..\RunServices: [SoftwareUpdateLocalizedSoftwareUpdateLocalized1.0.0.3]  File not found
O4 - HKLM..\RunServices: [VorversuchEfficiencysds60629]  File not found
O4 - HKLM..\RunServices: [WextractSystem]  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutorunsDisabled [2013/05/19 11:48:14 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Dokumente und Einstellungen\Christopher W\Startmenü\Programme\Autostart\mqwzjodqe.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Christopher_W_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: &MSN Suche - C:\Programme\MSN Toolbar Suite\msntb.dll (Microsoft Corporation)
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - C:\Programme\MSN Toolbar Suite\de-de\msntabres.dll.mui (Microsoft Corporation)
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - C:\Programme\MSN Toolbar Suite\de-de\msntabres.dll.mui (Microsoft Corporation)
O9 - Extra Button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O12 - Plugin for: .cdx - Reg Error: Value error. File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Java Plug-in 1.5.0_04)
O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msencarta {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL ()
O18 - Protocol\Handler\msero {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\msero.dll ()
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\msref {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL ()
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/06/28 10:14:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013/09/04 15:27:18 | 000,151,956 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eqdojzwqm.plz
[2013/08/22 13:19:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\iTunes
[2013/08/22 13:18:35 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2013/08/22 13:18:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\188F1432-103A-4ffb-80F1-36B633C5C9E1
[2013/08/17 04:55:14 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2013/08/06 15:48:48 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Thunderbird
[2013/04/07 13:55:27 | 021,040,024 | ---- | C] (Fengtao Software Inc.                                       ) -- C:\Programme\DVDFab8228Qt.exe
[2013/03/09 12:30:24 | 000,781,864 | ---- | C] (Microsoft Corporation) -- C:\Programme\WindowsXP-KB932716-v2-x86-DEU.exe
[2013/03/09 08:04:59 | 028,529,632 | ---- | C] (DVDVideoSoft Ltd.                                           ) -- C:\Programme\FreeYouTubeToDVDConverter3.1.0.128.exe
[2013/03/09 08:03:49 | 027,508,280 | ---- | C] (DVDVideoSoft Ltd.                                           ) -- C:\Programme\FreeYouTubeToMP3Converter3.12.0.128.exe
[2011/08/04 03:08:46 | 001,711,104 | ---- | C] (Microsoft Corporation) -- C:\Programme\FreePDF4.04.EXE
[2011/08/03 03:37:10 | 001,512,448 | ---- | C] (Irfan Skiljan) -- C:\Programme\iview430_setup.exe
[2011/06/29 02:16:17 | 017,010,016 | ---- | C] (Microsoft Corporation) -- C:\Programme\IE8-WindowsXP-x86-DEU.exe
[2011/06/13 04:38:31 | 012,362,480 | ---- | C] (Mozilla) -- C:\Programme\Firefox Setup 4.0.1.exe
[2011/05/06 14:51:58 | 018,141,860 | ---- | C] (ALNO AG                                                     ) -- C:\Programme\ALNO_KPLSetup.exe
[2010/09/12 04:05:10 | 009,264,136 | ---- | C] (Mozilla) -- C:\Programme\Thunderbird Setup 3.1.3.exe
[2010/05/09 08:41:17 | 003,382,520 | ---- | C] (Piriform Ltd) -- C:\Programme\ccsetup231.exe
[2010/05/08 08:29:46 | 006,153,352 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Programme\mbam-setup.com
[2010/05/08 03:58:13 | 006,153,352 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Programme\mbam-setup.com.exe
[2010/05/07 15:43:39 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Programme\ulf.exe
[2010/05/07 15:41:50 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Programme\mbam-setup.exe
[2009/11/22 14:57:08 | 037,797,690 | ---- | C] (Advanced Chemistry Development Inc.) -- C:\Programme\chemsk12.exe
[2009/05/24 10:19:24 | 002,964,568 | ---- | C] (ASCOMP Software GmbH                                        ) -- C:\Programme\sEraser.exe
[2009/04/02 15:48:22 | 000,318,904 | ---- | C] (Microsoft Corporation) -- C:\Programme\wmpfirefoxplugin.exe
[2009/03/19 17:21:12 | 003,093,360 | ---- | C] (Sun Microsystems, Inc.                                      ) -- C:\Programme\java3d-1_5_1-windows-i586.exe
[2009/03/08 07:58:22 | 026,436,040 | ---- | C] (eTeks                                                       ) -- C:\Programme\SweetHome3D-1.6-windows.exe
[2009/02/24 15:57:31 | 000,607,640 | ---- | C] (Sun Microsystems, Inc.) -- C:\Programme\jxpiinstall-6u12-fcs-bin-b04-windows-i586-17_jan_2009.exe
[2009/01/10 04:08:16 | 001,363,456 | ---- | C] (Björn Bastian) -- C:\Programme\USB-Fehlerbehebung.exe
[2007/11/11 11:02:54 | 010,567,567 | ---- | C] (InstallShield Software Corporation) -- C:\Programme\MSP8_SP1_3in1_8.10.0039.0(2).exe
[2007/08/28 09:01:16 | 010,567,567 | ---- | C] (InstallShield Software Corporation) -- C:\Programme\MSP8_SP1_3in1_8.10.0039.0.exe
[2007/05/04 15:23:35 | 014,993,976 | ---- | C] (Macrovision Corporation) -- C:\Programme\Google_Earth_BZXE.exe
[2006/07/12 05:23:20 | 000,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\DLLVGA.dll
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[11 C:\Dokumente und Einstellungen\Christopher W\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\Christopher W\Desktop\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013/09/05 03:39:03 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013/09/05 03:38:18 | 000,000,480 | ---- | M] () -- C:\WINDOWS\tasks\SDMsgUpdate (TE).job
[2013/09/05 03:34:35 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mqwzjodqe.ctrl
[2013/09/05 03:34:26 | 1063,309,312 | -HS- | M] () -- C:\hiberfil.sys
[2013/09/05 02:45:22 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013/09/04 15:57:00 | 095,025,368 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mqwzjodqe.pff
[2013/09/04 15:27:27 | 000,000,802 | ---- | M] () -- C:\Dokumente und Einstellungen\Christopher W\Startmenü\Programme\Autostart\mqwzjodqe.lnk
[2013/09/04 15:27:18 | 000,151,956 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eqdojzwqm.plz
[2013/09/02 16:21:48 | 000,222,928 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2013/09/01 14:04:23 | 000,063,140 | ---- | M] () -- C:\Dokumente und Einstellungen\Christopher W\Eigene Dateien\Schlagwein 5500.jpg
[2013/08/22 13:19:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\iTunes
[2013/08/22 13:19:27 | 000,001,522 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2013/08/19 16:08:42 | 000,060,694 | ---- | M] () -- C:\Dokumente und Einstellungen\Christopher W\Eigene Dateien\garagenklaus 200.jpg
[2013/08/19 16:03:44 | 000,067,866 | ---- | M] () -- C:\Dokumente und Einstellungen\Christopher W\Eigene Dateien\garagenklaus 2000.jpg
[2013/08/19 16:02:08 | 000,063,921 | ---- | M] () -- C:\Dokumente und Einstellungen\Christopher W\Eigene Dateien\garagenklaus 7000.jpg
[2013/08/19 14:18:38 | 000,105,529 | ---- | M] () -- C:\Dokumente und Einstellungen\Christopher W\Desktop\Vorjahresrechnung Christopher Weidner.pdf
[2013/08/19 12:53:17 | 000,055,940 | ---- | M] () -- C:\Dokumente und Einstellungen\Christopher W\Desktop\FotoTor2.JPG
[2013/08/19 12:52:58 | 000,039,790 | ---- | M] () -- C:\Dokumente und Einstellungen\Christopher W\Desktop\FotoTor.JPG
[2013/08/15 11:26:57 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013/08/15 11:26:56 | 000,692,104 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013/08/15 11:26:55 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013/08/14 17:51:06 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013/08/14 17:41:03 | 000,459,788 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013/08/14 17:41:03 | 000,441,906 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013/08/14 17:41:03 | 000,085,124 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013/08/14 17:41:03 | 000,071,842 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013/08/09 11:16:04 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[11 C:\Dokumente und Einstellungen\Christopher W\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\Christopher W\Desktop\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013/09/05 03:34:26 | 1063,309,312 | -HS- | C] () -- C:\hiberfil.sys
[2013/09/04 15:27:26 | 000,000,802 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\Startmenü\Programme\Autostart\mqwzjodqe.lnk
[2013/09/04 15:27:24 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mqwzjodqe.ctrl
[2013/09/04 15:27:19 | 095,025,368 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mqwzjodqe.pff
[2013/09/02 16:21:48 | 000,222,928 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2013/09/01 14:04:23 | 000,063,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\Eigene Dateien\Schlagwein 5500.jpg
[2013/08/22 13:19:27 | 000,001,522 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2013/08/19 16:08:42 | 000,060,694 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\Eigene Dateien\garagenklaus 200.jpg
[2013/08/19 16:03:44 | 000,067,866 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\Eigene Dateien\garagenklaus 2000.jpg
[2013/08/19 16:02:08 | 000,063,921 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\Eigene Dateien\garagenklaus 7000.jpg
[2013/08/19 14:18:38 | 000,105,529 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\Desktop\Vorjahresrechnung Christopher Weidner.pdf
[2013/08/19 12:53:25 | 000,055,940 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\Desktop\FotoTor2.JPG
[2013/08/19 12:53:11 | 000,039,790 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\Desktop\FotoTor.JPG
[2012/09/10 14:34:42 | 000,084,224 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2012/04/15 08:09:27 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/10/12 16:00:19 | 000,000,118 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2011/07/01 11:12:48 | 001,490,504 | ---- | C] () -- C:\Programme\setup_Fotoservice.exe
[2011/03/21 04:41:11 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\PDFsamTMPbufferKKVIE1.pdf
[2011/03/21 04:40:57 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\PDFsamTMPbufferAYEPR1.pdf
[2011/03/21 04:33:59 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2010/07/12 06:37:09 | 001,431,256 | ---- | C] () -- C:\Programme\setup_Mein_CEWE_FOTOBUCH.exe
[2010/05/07 15:40:28 | 000,363,520 | ---- | C] () -- C:\Programme\rkill.com
[2010/01/17 16:24:06 | 000,078,170 | ---- | C] () -- C:\WINDOWS\hpqins05.dat
[2009/12/01 09:03:37 | 000,003,495 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\.mayday.prefs
[2009/12/01 06:20:52 | 061,000,013 | ---- | C] () -- C:\Programme\MeV_4_5_0_r2117_win.zip
[2009/09/19 14:24:26 | 000,179,257 | ---- | C] () -- C:\WINDOWS\hpoins28.dat
[2009/09/19 14:24:25 | 000,000,932 | ---- | C] () -- C:\WINDOWS\hpomdl28.dat
[2009/05/21 02:23:47 | 030,143,040 | ---- | C] () -- C:\Programme\avira_antivir_personal_de.exe
[2009/03/28 09:44:06 | 012,364,759 | ---- | C] () -- C:\Programme\MeV_Manual_4_3.pdf
[2009/03/19 17:21:40 | 000,823,296 | ---- | C] () -- C:\WINDOWS\j3dcore-d3d.dll
[2009/03/19 17:21:40 | 000,163,840 | ---- | C] () -- C:\WINDOWS\j3dcore-ogl.dll
[2009/03/19 17:21:40 | 000,049,152 | ---- | C] () -- C:\WINDOWS\j3dcore-ogl-chk.dll
[2009/03/19 17:21:40 | 000,040,960 | ---- | C] () -- C:\WINDOWS\j3dcore-ogl-cg.dll
[2009/03/18 17:09:54 | 035,875,611 | ---- | C] () -- C:\Programme\MeV_4_3_02_win.zip
[2009/03/12 16:13:28 | 044,355,760 | ---- | C] () -- C:\Programme\sf2007-3.exe
[2008/12/01 10:41:28 | 084,415,967 | ---- | C] () -- C:\Programme\BeadStudioV3.1_GX_3.2_2007-10-12.zip
[2008/11/26 16:25:27 | 000,486,720 | ---- | C] () -- C:\Programme\smartdraw_XL_9O4DZ_setup.exe
[2008/11/26 16:16:14 | 004,628,858 | ---- | C] () -- C:\Programme\BeadStudio_Gene_Expression_Module_v3.2_User_Guide.pdf
[2008/10/24 17:06:29 | 000,000,249 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\vgalusr1.vr
[2008/05/26 14:56:28 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI
[2008/04/12 07:39:26 | 004,816,875 | ---- | C] () -- C:\Programme\pdfsam-1.0.0-b2-out.zip
[2008/04/07 10:51:23 | 000,000,016 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\obtf501
[2008/03/25 04:41:57 | 000,086,082 | R--- | C] () -- C:\WINDOWS\System32\ftdiunin.exe
[2008/03/25 04:41:57 | 000,000,110 | R--- | C] () -- C:\WINDOWS\System32\ftdiun2k.ini
[2007/12/05 16:15:04 | 000,000,985 | ---- | C] () -- C:\WINDOWS\aeditor.INI
[2007/12/05 16:07:34 | 000,000,295 | ---- | C] () -- C:\WINDOWS\ULEAD32.INI
[2007/11/10 15:19:15 | 000,000,087 | ---- | C] () -- C:\WINDOWS\dswplug.ini
[2007/11/10 15:19:01 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\mplaw7.dll
[2007/11/10 15:19:01 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\mplaa6.dll
[2007/11/10 15:19:01 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\mplam6.dll
[2007/11/10 15:19:01 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\cpuinf32.dll
[2007/10/24 15:02:03 | 000,000,182 | ---- | C] () -- C:\WINDOWS\Videodeluxe.INI
[2007/10/24 14:36:07 | 000,004,126 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2007/08/14 08:00:47 | 000,394,240 | ---- | C] () -- C:\WINDOWS\System32\Smab.dll
[2007/08/14 08:00:46 | 000,502,784 | ---- | C] () -- C:\WINDOWS\x2.64.exe
[2007/08/14 08:00:46 | 000,240,128 | ---- | C] () -- C:\WINDOWS\System32\x.264.exe
[2007/08/14 08:00:46 | 000,217,073 | ---- | C] () -- C:\WINDOWS\meta4.exe
[2007/08/14 08:00:46 | 000,066,560 | ---- | C] () -- C:\WINDOWS\MOTA113.exe
[2007/08/14 08:00:46 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2007/08/07 16:18:51 | 000,002,175 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\vdisplay.cfg
[2007/04/29 11:11:46 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007/04/29 11:08:00 | 017,222,032 | ---- | C] () -- C:\Programme\antivir_workstation_win7u_de_h.exe
[2007/04/25 13:33:21 | 000,000,076 | ---- | C] () -- C:\WINDOWS\wwwbatch.ini
[2007/04/25 13:33:20 | 000,045,056 | ---- | C] () -- C:\WINDOWS\wsutil.exe
[2007/04/25 13:32:13 | 000,172,032 | ---- | C] () -- C:\WINDOWS\WsBtn.dll
[2007/01/08 15:49:19 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2007/01/08 15:49:19 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2006/10/07 16:39:40 | 000,030,720 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006/10/05 13:59:58 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2006/09/29 08:00:02 | 000,299,008 | ---- | C] () -- C:\WINDOWS\System32\midas.dll
[2006/09/29 08:00:01 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\UnzDll.dll
[2006/09/29 06:46:45 | 018,744,192 | ---- | C] () -- C:\Programme\BV088.exe
[2006/09/27 14:20:40 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\wklnhst.dat
[2006/09/27 06:25:29 | 000,000,125 | -HS- | C] () -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\.zreglib
[2006/09/27 04:59:25 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2006/09/27 04:59:15 | 000,002,754 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2006/09/27 03:10:08 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher W\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006/07/24 10:48:30 | 000,000,004 | ---- | C] () -- C:\WINDOWS\Pix11.dat
[2006/07/21 05:38:23 | 000,029,184 | ---- | C] () -- C:\WINDOWS\System32\drivers\TSXT_kern_i386.sys
[2006/07/13 04:32:15 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006/07/12 08:45:32 | 000,000,562 | ---- | C] () -- C:\WINDOWS\TBTdetect.ini
[2006/07/12 08:21:14 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006/07/12 08:16:37 | 000,127,184 | ---- | C] () -- C:\WINDOWS\Unwise.exe
[2006/07/12 07:46:38 | 000,000,385 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2006/07/12 07:46:07 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\pxhpinst.exe
[2006/07/12 07:40:39 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2006/07/12 07:40:39 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2006/07/12 07:40:39 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2006/07/12 07:40:39 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2006/07/12 07:40:39 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2006/07/12 07:40:39 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2006/07/12 06:23:59 | 000,036,736 | ---- | C] () -- C:\WINDOWS\System32\drivers\CSIIDecoder_kern_i386.sys
[2006/07/12 06:00:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NDSTray.INI
[2006/07/12 05:23:20 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\TCtrlIO.dll
[2006/07/12 05:14:10 | 000,128,113 | ---- | C] () -- C:\WINDOWS\System32\csellang.ini
[2006/07/12 05:14:10 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\csellang.dll
[2006/07/12 05:14:10 | 000,010,161 | ---- | C] () -- C:\WINDOWS\System32\tosmreg.ini
[2006/07/12 05:14:10 | 000,007,671 | ---- | C] () -- C:\WINDOWS\System32\cseltbl.ini
[2006/07/12 05:12:05 | 000,000,176 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTHDAEQ1.dat
[2006/07/12 05:12:05 | 000,000,176 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTHDAEQ0.dat
[2006/07/12 05:12:03 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2006/07/12 05:12:03 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2006/07/06 14:50:28 | 001,519,616 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2006/07/06 14:50:26 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2006/07/06 14:50:26 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2006/07/06 14:50:23 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2006/07/06 14:50:20 | 001,466,368 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2006/07/06 14:50:20 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2006/07/06 14:50:16 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2006/07/06 14:50:16 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2006/07/06 14:50:15 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2006/07/06 14:49:55 | 000,121,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2006/06/28 11:04:51 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2006/06/28 11:04:00 | 000,380,040 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2006/06/28 10:22:34 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006/06/28 10:17:59 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2006/06/28 10:10:28 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2006/06/28 09:58:18 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\ToshBIOS.dll
[2006/06/28 09:58:18 | 000,000,083 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2006/06/28 09:58:17 | 000,159,744 | ---- | C] () -- C:\WINDOWS\MakeMrk.exe
[2006/06/28 09:58:05 | 000,459,788 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2006/06/28 09:58:05 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2006/06/28 09:58:05 | 000,085,124 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2006/06/28 09:58:05 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2006/06/28 09:57:31 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006/06/28 09:57:29 | 000,441,906 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2006/06/28 09:57:29 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2006/06/28 09:57:29 | 000,071,842 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2006/06/28 09:57:29 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2006/06/28 09:57:28 | 000,004,631 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2006/06/28 09:57:26 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2006/06/28 09:57:24 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2006/06/28 09:57:19 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2006/06/28 09:57:19 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2006/06/28 09:57:13 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2006/06/28 09:57:05 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2005/11/28 23:33:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2005/10/14 11:09:48 | 000,051,304 | ---- | C] () -- C:\WINDOWS\System32\drivers\atnt40k.sys
[2005/09/02 08:44:08 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll
[2005/08/09 18:13:59 | 000,524,288 | ---- | C] () -- C:\WINDOWS\System32\DivXsm.exe
[2005/08/09 18:13:31 | 000,831,488 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll
[2005/08/09 18:13:31 | 000,159,744 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll
[2005/08/09 18:12:28 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2005/08/05 08:26:04 | 000,235,008 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2005/07/22 15:30:20 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll
[2004/07/20 11:04:02 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\TosBtHcrpAPI.dll
[2004/01/15 08:43:28 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\TBTMonUI.dll
[2003/12/15 14:12:48 | 000,128,000 | ---- | C] () -- C:\WINDOWS\System32\3DViewer.dll
[2000/08/08 14:58:52 | 000,069,120 | ---- | C] () -- C:\WINDOWS\System32\LTDLL.DLL
[2000/03/26 06:16:00 | 000,030,208 | ---- | C] () -- C:\WINDOWS\System32\clcd32.dll
[1999/09/21 00:59:10 | 000,006,784 | ---- | C] () -- C:\WINDOWS\System32\clcd16.dll
[1999/01/22 14:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
 
========== LOP Check ==========
 
[2007/01/01 08:50:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\X10 Commander
[2007/01/01 08:46:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\toshiba
[2007/01/01 08:46:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
[2009/11/22 15:03:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\Advanced Chemistry Development
[2006/09/29 08:05:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\Bonavista
[2013/03/09 13:00:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\DVDVideoSoft
[2013/03/09 12:59:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\DVDVideoSoftIEHelpers
[2007/11/09 02:06:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\EndNote
[2010/06/10 16:57:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\EverAd
[2008/04/07 10:51:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\GraphPad Software
[2008/11/26 16:16:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\Illumina
[2006/09/27 08:04:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\InterVideo
[2007/10/24 15:38:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\MAGIX
[2013/03/09 10:58:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\OpenCandy
[2013/05/19 04:30:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\PriceGong
[2007/10/23 16:38:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\Publish Providers
[2012/08/14 16:42:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\RavensburgerTipToi
[2013/03/09 12:56:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\SearchProtect
[2007/05/01 05:23:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\SlySoft
[2008/11/26 16:36:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\SmartDraw
[2007/10/23 16:37:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\Sony
[2007/10/23 16:10:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\Sony Setup
[2006/09/27 14:21:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\Template
[2008/05/22 00:30:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\Thinstall
[2010/09/12 04:07:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\Thunderbird
[2007/01/01 08:46:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\toshiba
[2007/12/04 17:01:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\Ulead Systems
[2006/10/24 16:41:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\VMedia
[2007/01/01 08:46:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christopher W\Anwendungsdaten\Windows Desktop Search
[2013/08/22 13:19:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\188F1432-103A-4ffb-80F1-36B633C5C9E1
[2009/11/22 15:03:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Advanced Chemistry Development
[2008/12/01 16:23:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BeadStudio Descriptors
[2013/04/07 14:15:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dvdfab
[2011/08/04 03:09:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF
[2008/12/01 16:21:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Illumina
[2007/10/24 14:40:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2008/03/25 05:17:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MARS
[2006/10/03 13:34:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
[2012/12/29 06:05:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RavensburgerTipToi
[2006/09/27 15:25:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SBT
[2007/11/10 15:20:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
[2007/10/24 01:08:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2013/05/26 16:10:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2007/11/10 15:25:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2013/04/07 15:41:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vsosdk
[2009/08/05 16:15:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2012/07/16 12:20:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2013/09/05 03:38:18 | 000,000,480 | ---- | M] () -- C:\WINDOWS\Tasks\SDMsgUpdate (TE).job
 
========== Purity Check ==========
 
 
 
========== Files - Unicode (All) ==========
[2010/01/23 17:17:36 | 000,000,000 | ---D | M](C:\Dokumente und Einstellungen\Christopher W\??KALE~1) -- C:\Dokumente und Einstellungen\Christopher W\ᓂKALE~1
[2010/01/23 17:17:36 | 000,000,000 | ---D | M](C:\Dokumente und Einstellungen\Christopher W\??KALE~1) -- C:\Dokumente und Einstellungen\Christopher W\ᓂKALE~1
(C:\Dokumente und Einstellungen\Christopher W\??KALE~1) -- C:\Dokumente und Einstellungen\Christopher W\ᓂKALE~1
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 110 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:888AFB86
< End of report >
         
Wie geht's nun weiter?
Vielen Dank für eure Mühen!

Schöne Grüße

Alt 05.09.2013, 12:14   #2
schrauber
/// the machine
/// TB-Ausbilder
 

GVU Interpol Merkel-Trojaner Windows XP abgesicherter Modus startet nicht - Standard

GVU Interpol Merkel-Trojaner Windows XP abgesicherter Modus startet nicht



hi,

Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
:OTL
O4 - Startup: C:\Dokumente und Einstellungen\Christopher W\Startmenü\Programme\Autostart\mqwzjodqe.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
[2013/09/04 15:27:18 | 000,151,956 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eqdojzwqm.plz
[2013/09/05 03:34:35 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mqwzjodqe.ctrl
[2013/09/04 15:57:00 | 095,025,368 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mqwzjodqe.pff
[2013/09/04 15:27:27 | 000,000,802 | ---- | M] () -- C:\Dokumente und Einstellungen\Christopher W\Startmenü\Programme\Autostart\mqwzjodqe.lnk
[2013/09/04 15:27:18 | 000,151,956 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eqdojzwqm.plz
:files
C:\Dokumente und Einstellungen\Christopher W\Startmenü\Programme\Autostart\mqwzjodqe.lnk
:commands
[emptytemp]
         
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


rechner normal starten
__________________

__________________

Alt 05.09.2013, 13:43   #3
B_Stromberg
 
GVU Interpol Merkel-Trojaner Windows XP abgesicherter Modus startet nicht - Standard

GVU Interpol Merkel-Trojaner Windows XP abgesicherter Modus startet nicht



Mensch, das klappt ja super!
Der Rechner startet wieder und ich hoffe, er läuft wieder so wie gestern.
Was empfiehlt ihr nun zum Scannen?

Hier die logfile von OTL

Code:
ATTFilter
========== OTL ==========
C:\Dokumente und Einstellungen\Christopher W\Startmenü\Programme\Autostart\mqwzjodqe.lnk moved successfully.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eqdojzwqm.plz moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mqwzjodqe.ctrl moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mqwzjodqe.pff moved successfully.
File C:\Dokumente und Einstellungen\Christopher W\Startmenü\Programme\Autostart\mqwzjodqe.lnk not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eqdojzwqm.plz not found.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\Christopher W\Startmenü\Programme\Autostart\mqwzjodqe.lnk not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 1992481 bytes
->Temporary Internet Files folder emptied: 260429 bytes
->FireFox cache emptied: 2856762 bytes
 
User: All Users
 
User: Christopher W
->Temp folder emptied: 5623381379 bytes
->Temporary Internet Files folder emptied: 1876617552 bytes
->Java cache emptied: 206006639 bytes
->FireFox cache emptied: 373575482 bytes
->Flash cache emptied: 4187103 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes
 
User: LocalService
->Temp folder emptied: 65536 bytes
->Temporary Internet Files folder emptied: 9548888 bytes
 
User: NetworkService
->Temp folder emptied: 115372 bytes
->Temporary Internet Files folder emptied: 91019862 bytes
->Java cache emptied: 13 bytes
->Flash cache emptied: 4052 bytes
 
%systemdrive% .tmp files removed: 45301760 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 1163143 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 549659758 bytes
 
Total Files Cleaned = 8,379.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 09052013_144523

Files\Folders moved on Reboot...
File\Folder X:\I386\SYSTEM32\RUNDLL32.EXE not found!

Registry entries deleted on Reboot...
         
VIELEN DANK FÜR DIE SEHR SCHNELLE UND KOMPETENTE HILFE!!!
__________________

Alt 05.09.2013, 14:03   #4
schrauber
/// the machine
/// TB-Ausbilder
 

GVU Interpol Merkel-Trojaner Windows XP abgesicherter Modus startet nicht - Standard

GVU Interpol Merkel-Trojaner Windows XP abgesicherter Modus startet nicht



Ab jetzt alles im normalen Modus:

Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.


Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu GVU Interpol Merkel-Trojaner Windows XP abgesicherter Modus startet nicht
.dll, abgesicherter modus startet nicht, adobe, antivir, avira, bho, bonjour, browser, ccsetup, desktop, dvdvideosoft ltd., einstellungen, error, explorer, firefox, flash player, fontcache, format, gvu-trojaner, homepage, logfile, mozilla, otlpe, realtek, registry, rundll, scan, starten, usb, windows, windows xp, windows-xp



Ähnliche Themen: GVU Interpol Merkel-Trojaner Windows XP abgesicherter Modus startet nicht


  1. Windows 8 startet nicht mehr und auch kein abgesicherter Modus möglich
    Plagegeister aller Art und deren Bekämpfung - 09.11.2015 (7)
  2. Windows 7 startet nicht! Ebenfalls im "abgesicherter Modus" nicht!
    Plagegeister aller Art und deren Bekämpfung - 03.03.2015 (9)
  3. Interpol Virus - Abgesicherter Modus startet immer wieder neu
    Log-Analyse und Auswertung - 21.11.2014 (11)
  4. Interpol Trojaner auf Windows 7 64 bit Rechner, Abgesicherter Modus geht nicht
    Log-Analyse und Auswertung - 29.05.2014 (8)
  5. GVU Trojaner Interpol Merkel - Windows XP x86 - OTL.txt schon erstellt
    Plagegeister aller Art und deren Bekämpfung - 22.05.2014 (24)
  6. Windows 7, bundestronjaner (italienisch, interpol), abgesicherter modus funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 18.04.2014 (1)
  7. Interpol Trojaner - auch abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 10.03.2014 (11)
  8. Windows XP: GVU Trojaner - abgesicherter Modus startet immer neu
    Log-Analyse und Auswertung - 12.12.2013 (7)
  9. GVU Trojaner - abgesicherter Modus startet nicht
    Log-Analyse und Auswertung - 07.12.2013 (19)
  10. Windows XP: GUV Trojaner - abgesicherter Modus startet nicht
    Log-Analyse und Auswertung - 28.11.2013 (17)
  11. Interpol Virus, Windows 7, Abgesicherter Modus fährt wieder runter
    Plagegeister aller Art und deren Bekämpfung - 21.10.2013 (1)
  12. Windows 7 Trojaner Interpol Blockierter Pc Abgesicherter Modus geht nicht
    Plagegeister aller Art und deren Bekämpfung - 20.10.2013 (5)
  13. GVU Trojaner. Abgesicherter Modus startet nicht
    Plagegeister aller Art und deren Bekämpfung - 30.09.2013 (2)
  14. BKA/Interpol-Trojaner - Win 7 - Nur abgesicherter Modus mit Eingabeaufforderung möglich
    Plagegeister aller Art und deren Bekämpfung - 27.08.2013 (9)
  15. Windows 8 startet nicht - schwarzer Bilderschirm - Abgesicherter Modus nicht möglich
    Log-Analyse und Auswertung - 25.08.2013 (7)
  16. GVU auf Windows XP / abgesicherter Modus startet nicht
    Plagegeister aller Art und deren Bekämpfung - 13.01.2013 (38)
  17. GVU TROJANER - Abgesicherter Modus startet nicht
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (13)

Zum Thema GVU Interpol Merkel-Trojaner Windows XP abgesicherter Modus startet nicht - Liebes Trojaner-Board-Team, ich habe mir einen GVU-Trojaner eingefangen. Abgesicherter Modus funktioniert nicht. Er startet zunächst im abgesicherten Modus, dann macht er aber selbstständig wieder einen Neustart. Windows normal starten bringt - GVU Interpol Merkel-Trojaner Windows XP abgesicherter Modus startet nicht...
Archiv
Du betrachtest: GVU Interpol Merkel-Trojaner Windows XP abgesicherter Modus startet nicht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.