wie verschiebe ich von malware gefundene, infizierte programme in Quarantäne?

Larusso · 19.06.2010, 16:00

Die beiden Funde sind irrelevant.

Also hast du auf der Externen Festplatte jetzt einfach mal so alles mitgesichert ?
Oder doch nur das wichtigste. Sorry ist ein bisschen verwirrend was du da schreibst

Ellen · 19.06.2010, 16:18

Hallo Daniel,
inzwischen habe ich heraus gefunden, woher die beiden Funde stammen:
Ich hatte mal gemeinsam mit einem Freund edonkey2000 ausprobiert, das scheint noch daher zu stammen. Dann kann ichs aber wohl auch unbedenklich löschen... ?
Ich werde dann trotzdem noch einen Scan mit Malwarebytes starten auf diesem Interimsrechner hier, nur zur Sicherheit... oder gibts ein besseres Tool?

Von dem ursprünglich verseuchten Rechner sind die meisten, noch nicht alle Daten herunter gezogen. Ich hatte vor zwei Tagen zunächst damit begonnen, die bereits herunter gezogenen wieder zu verwenden bzw. aufs Notebook zu übertragen, weil auch die Platte zu voll wurde und eben wegen des Arbeiten/Schreibens. Dabei ist es ja dann heute früh dazu gekommen, dass der Bildschirm des Notebooks plötzlich mit unendlichen Reihen von weißen, senkrechten Strichen überzogen wurde, als ich die mobile Platte eingesteckt habe. Viell. liegts auch am NB selbst, keine Ahnung. DAs ist ja auch nicht das Tollste. Aber bisher gabs da kein Problem mit der mobilen FP.

Zu den Daten: wenns notwendig fürs weitere VOrgehen ist,ziehe ich den Rest via Knoppix noch vom verseuchten Rechner.
Und dann? :-) auf jeden Fall keine Angst vor LAngeweile dieses We ...
GRuß
Ellen

Larusso · 19.06.2010, 16:42

Wenn die Daten gesichert sind würde ich dir ganz einfach Formatieren und neu aufsetzen vorschlagen.

Dann ist das in ein paar Stunden erledigt und der PC ist zu 100% clean ohne größerem Aufwand

Die Externe Platte noch mit mind 2 Online Scannern prüfen bevor du sie auf das frisch aufgesetzte System anschließt.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.
Button "ESET Online Scanner" drücken.
Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User müssen das Installieren eines ActiveX Elements erlauben.
Einen Haken bei "Remove found threads" und "Scan archives" machen.
Start drücken.
Signaturen werden heruntergeladen.
Der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

Kaspersky Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
Java muss installiert, aktiv und erlaubt sein.
Bebilderte Anleitung von sundavis.
Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.

Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
Die Datenschutzerklärung akzeptieren.
Programm installieren lassen.
Update der Signaturen installieren lassen.
Wenn der Status "Complete" ist,
Scan-Einstellungen (Settings) Standard lassen
Links den Link "My Computer" anklicken.
Scan beginnt automatisch.
Wenn der Scan fertig ist, auf "View scan report" klicken,
"Save report as" und Dateityp auf .txt umstellen,
und auf dem Desktop als Kaspersky.txt speichern.
Logdatei hier posten.
Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

Wenn getan, können wir uns ja auch dein Notebook mal ansehen.

Ellen · 19.06.2010, 18:41

Hallo Daniel,
ein Quickscan mit Malwarebytes beim gerade verwendeten Interimsrechner gab 7 Funde an:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4215

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152942
Laufzeit: 17 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\RegistrySmart (Rogue.RegistrySmart) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\RegistrySmart (Rogue.RegistrySmart) -> No action taken.
C:\Programme\RegistrySmart\Log (Rogue.RegistrySmart) -> No action taken.
C:\Programme\RegistrySmart\Registry Backups (Rogue.RegistrySmart) -> No action taken.

Infizierte Dateien:
C:\Programme\RegistrySmart\Results.stg (Rogue.RegistrySmart) -> No action taken.
C:\Programme\RegistrySmart\Log\log_2007_02_13_12_40_49.eklog (Rogue.RegistrySmart) -> No action taken.
C:\Programme\RegistrySmart\Registry Backups\2007-02-13_12-46-13.reg (Rogue.RegistrySmart) -> No action taken.

ich habe noch nichts weiter unternommen. Ist es riskant, diese Dateien in Quarantäne zu stecken?

Gruß,
ELlen

Ellen · 19.06.2010, 18:43

P.S.:
ich habe eine Deaktivierung von Autorun/Autoplay vorgenommen, über regedit bzw. mit TweakUI, können die Registry-Meldungen von da kommen?
Ellen

Larusso · 19.06.2010, 18:45

Ne das ist einfach ne Software die als gefaket eingestuft wird.

Sagte ich nicht wir sehen uns das an wenn alles mit dem anderen PC getan ist?
Nimm dir nicht zuviel auf einmal vor, das verwirrt dich und auch mich.

Ellen · 19.06.2010, 18:58

Das ist richtig (mit dem anderen PC), nur will ich mit dem hier keine weiteren Risiken eingehen und brauche ihn ja so lange zur Überbrückung. Das andere wird wenigstens einen Tag oder mehr brauchen (wegen Unterbrechungen).
Danke für die Antwort! Ich hab die Einträge entfernt, mal schauen was passiert. Kann mich eh nicht erinnern, wo das her gekommen ist, war schon alt.
Gruß,
Ellen
P.S.: Der Scan hat die mobile FP mit einbezogen, zumindest mit dem Quickscan war da also nichts.

Larusso · 19.06.2010, 20:34

Dann sehen wir über den Notebook mal drüber

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Ellen · 20.06.2010, 10:57

Hallo Daniel,
der Notebook-Scan hängt sich jedesmal am C:\WINDOWS\PIF-Ordner auf, der ein völlig abstruses Datum aufweist. (2099 "übersetzt", in der Eigenschaftsanzeige "6. April 15810"
Da der Ordner keine Dateien enthält: kann ich einen "leeren Ersatzordner" mit Bezeichnung PIF erstellen und den anderen dafür löschen? Oder erkennt das System, dass der Ordner nachträglich erstellt wurde und macht dann irgendwelche Probleme?
Schönen Sonntag, :-)
Ellen

Ellen · 20.06.2010, 11:06

P.S. zu Ordner C:\WINDOWS\PIF
im Forum von Malwarebytes wird der Ordner einmal von einem User per Malwarebytes gehandelt, andere stufen ihn als gefahrlos bzw. Systemordner ein (richtig verstanden?)
Das Datum des Ordners war bei denen allerdings "echt". Sollte also ausreichen, einen PIF-Ordner mit gültigem Datum neu zu erstellen... ?
database 1096: Folder C:\WINDOWS\PIF (Trojan.Agent) - Malwarebytes Forum

Gruß,
Ellen

Larusso · 20.06.2010, 14:02

Starte bitte OTL.exe und klicke auf den Quick Scan Button.

Ellen · 20.06.2010, 14:18

Hallo Daniel,
nach einigen Löschungen von alten Dateien mit diesem Datum lief der Scan irgendwann durch.
Noch ne Frage zu dem Post des recht langen logfiles: ist alles von Interesse oder nur bestimmte Abschnitte?
Und was ich mich grundsätzlich schon lang gefragt habe: geben all die geposteten logfiles in den Foren möglichen Hackern eigentlich genügend Informationen, um in ein System zu gelangen?

Larusso · 20.06.2010, 14:20

Die ganze Logfile ist wichtig. Es zählt jedes noch so kleine Detail

Und ne, die Logfiles enthalten zwar vorhandene Software und eventuell schwächen aber gefährlich ist das ganze nicht. Erstens, müsste er einmal wissen wer Du bist und zweitens hackt heutzutage kaum noch wer einen privat PC. Dazu gibt es einfachere Wege (Trojaner)

Ellen · 20.06.2010, 14:26

Hier also das Ergebnis des Scans:

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan

========== Processes (SafeList) ==========

PRC - [2010.06.20 11:30:50 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\OTL.exe
PRC - [2010.04.01 13:33:15 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Programme\AVPersonal\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.03.02 11:28:23 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Programme\AVPersonal\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\AVPersonal\Avira\AntiVir Desktop\sched.exe
PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\AVPersonal\Avira\AntiVir Desktop\avshadow.exe
PRC - [2010.01.11 16:21:52 | 000,246,504 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.10.28 02:01:00 | 001,794,048 | ---- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanGUI.exe
PRC - [2008.10.28 02:01:00 | 000,364,544 | ---- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanNetService.exe
PRC - [2005.06.30 15:56:42 | 000,114,688 | ---- | M] () -- C:\WINDOWS\system32\spool\drivers\w32x86\3\bgsmsnd.exe
PRC - [2004.08.04 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2004.08.04 14:00:00 | 000,019,456 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\tcpsvcs.exe
PRC - [2004.04.19 09:12:08 | 000,045,056 | ---- | M] ( ) -- C:\WINDOWS\system32\slserv.exe
PRC - [2003.12.16 17:47:42 | 000,376,832 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\ZCfgSvc.exe
PRC - [2003.12.10 02:36:16 | 000,086,016 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

========== Modules (SafeList) ==========

MOD - [2010.06.20 11:30:50 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mein_~\Desktop\OTL.exe
MOD - [2004.08.04 14:00:00 | 001,050,624 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
MOD - [2004.08.04 14:00:00 | 000,102,400 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx

========== Win32 Services (SafeList) ==========

SRV - [2010.04.01 13:33:15 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\AVPersonal\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\AVPersonal\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.10.28 02:01:00 | 000,364,544 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\avmwlanstick\WLanNetService.exe -- (AVM WLAN Connection Service)
SRV - [2004.11.09 20:18:42 | 000,118,272 | ---- | M] (TuneUp Software GmbH) [On_Demand | Stopped] -- C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe -- (TUWinStylerThemeSvc)
SRV - [2004.08.04 14:00:00 | 000,019,456 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\tcpsvcs.exe -- (SimpTcp)
SRV - [2004.04.19 09:12:08 | 000,045,056 | ---- | M] ( ) [Auto | Running] -- C:\WINDOWS\System32\slserv.exe -- (SLService)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)

========== Driver Services (SafeList) ==========

DRV - [2010.03.01 10:05:19 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.02.16 14:24:01 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 12:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\AVPersonal\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.25 14:29:52 | 000,130,432 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2008.05.13 16:00:16 | 000,035,840 | ---- | M] (CACE Technologies) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\npf_devolo.sys -- (NPF_devolo) NetGroup Packet Filter Driver (devolo)
DRV - [2007.12.05 07:26:40 | 002,782,208 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2007.11.05 09:55:04 | 000,017,952 | ---- | M] () [Kernel | System | Running] -- C:\Programme\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys -- (atitray)
DRV - [2007.01.26 02:00:00 | 000,265,088 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2007.01.26 02:00:00 | 000,004,352 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmeject.sys -- (avmeject)
DRV - [2004.08.16 07:00:00 | 000,159,488 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\vinyl97.sys -- (VIAudio) Vinyl AC'97 Audio Controller (WDM)
DRV - [2004.08.04 14:00:00 | 000,088,448 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx)
DRV - [2004.08.04 14:00:00 | 000,063,232 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb)
DRV - [2004.08.04 14:00:00 | 000,055,936 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx)
DRV - [2004.08.04 14:00:00 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2004.08.03 23:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2004.04.19 06:50:20 | 000,013,912 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\RecAgent.sys -- (RecAgent)
DRV - [2004.04.19 06:42:26 | 000,635,152 | ---- | M] ( ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\slntamr.sys -- (Slntamr)
DRV - [2004.04.19 06:34:36 | 000,095,760 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\slnthal.sys -- (SlNtHal)
DRV - [2004.04.19 06:33:24 | 000,230,656 | ---- | M] ( ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mtlmnt5.sys -- (Mtlmnt5)
DRV - [2004.04.19 06:26:08 | 001,301,488 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mtlstrm.sys -- (Mtlstrm)
DRV - [2004.04.19 06:15:12 | 000,180,664 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ntmtlfax.sys -- (NtMtlFax)
DRV - [2004.04.19 06:04:48 | 000,013,312 | ---- | M] ( ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\slwdmsup.sys -- (SlWdmSup)
DRV - [2004.02.12 05:18:46 | 000,191,092 | ---- | M] (O2 Micro ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\o2mmb.sys -- (CONAN)
DRV - [2004.01.28 18:15:00 | 000,006,100 | ---- | M] (O2 Micro) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\MbxStby.sys -- (MbxStby)
DRV - [2002.09.16 18:14:32 | 000,004,228 | ---- | M] (PowerQuest Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\PQNTDRV.sys -- (PQNTDrv)
DRV - [2002.07.12 15:31:34 | 000,049,096 | ---- | M] (PowerQuest Corp.) [Kernel | Auto | Running] -- C:\Programme\PowerQuest\DataKeeper 5.0\PqFsmonNt.sys -- (PQfsmonNT ABE675CA-49DF-11d3-93F6-00104B64D07B)
DRV - [2001.11.13 09:47:26 | 000,041,324 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\winio.sys -- (WINIO)
DRV - [2001.08.17 14:57:38 | 000,016,128 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\MODEMCSA.sys -- (MODEMCSA)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-21-1659004503-854245398-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
IE - HKU\S-1-5-21-1659004503-854245398-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/ig?hl=de&source=iglk|https://www.bnpparibas-personalinvestors.lu/euroWebLu/-?$part=Particuliers.Desks.Expatriates.languageSelectorLu&$event=selectDE&gclid=CLLa2KHSxKACFdUp3wodxTYDbQ"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

[2010.01.18 17:04:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Mozilla\Extensions
[2010.06.09 10:46:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Mozilla\Firefox\Profiles\f3sb0hol.default\extensions
[2009.05.09 15:02:35 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2008.03.15 15:56:14 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2008.10.13 20:34:40 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2008.02.19 16:40:48 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2006.12.03 17:59:22 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2006.11.17 13:19:24 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (pdfMachine) - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\system32\spool\drivers\w32x86\3\bgstb.dll ()
O4 - HKLM..\Run: [AtiPTA] C:\WINDOWS\System32\atiptaxx.exe (ATI Technologies, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\AVPersonal\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [bgsmsnd.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\bgsmsnd.exe ()
O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe (Intel(R) Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator.LN-NOTEBOOK01\Startmenü\Programme\Autostart\DataKeeper.lnk = C:\Programme\PowerQuest\DataKeeper 5.0\DataKeeper.exe (PowerQuest Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\mein_admin\Startmenü\Programme\Autostart\DataKeeper.lnk = C:\Programme\PowerQuest\DataKeeper 5.0\DataKeeper.exe (PowerQuest Corporation)
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1659004503-854245398-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\S-1-5-21-1659004503-854245398-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: GreyMSIAds = 1
O7 - HKU\S-1-5-21-1659004503-854245398-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 80 FF FF 01 [binary data]
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\Sebring: DllName - C:\WINDOWS\system32\LgNotify.dll - C:\WINDOWS\system32\LgNotify.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.09.14 23:52:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010.05.28 11:54:05 | 000,028,672 | ---- | M] () - E:\AutoExec.doc -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2009.11.18 16:37:01 | 000,000,000 | ---D | M]
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: WmdmPmSp - File not found

CREATERESTOREPOINT
Restore point Set: OTL Restore Point (54338281256517632)

========== Files/Folders - Created Within 90 Days ==========

[2010.06.20 12:44:19 | 000,000,000 | ---D | C] -- C:\Programme\Brownie
[2010.06.20 11:52:11 | 000,000,000 | ---D | C] -- C:\WINDOWS\PIF
[2010.06.20 11:31:24 | 000,572,416 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\OTL.exe
[2010.06.19 19:20:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Malwarebytes
[2010.06.19 18:50:02 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Mein_Admin.LN-NOTEBOOK01\Recent
[2010.06.19 18:44:24 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.06.19 18:44:20 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.06.19 18:44:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
[2010.06.19 18:44:19 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.06.19 18:41:37 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.06.19 18:41:24 | 006,153,352 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\mbam146-setup.exe
[2010.06.19 17:44:02 | 000,130,432 | ---- | C] (Realtek Semiconductor Corporation ) -- C:\WINDOWS\System32\drivers\Rtnicxp.sys
[2010.06.19 17:42:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mein~01\Desktop\PCI_Install_XP_2K_5719_11202009
[2010.06.19 17:42:03 | 008,776,240 | ---- | C] (SUPERAntiSpyware.com) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\SUPERAntiSpyware.exe
[2010.06.19 17:42:03 | 003,387,040 | ---- | C] (Piriform Ltd) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\ccsetup232.exe
[2010.06.19 17:42:03 | 001,046,736 | ---- | C] (Driver Whiz ) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Driverwhiz.exe
[2010.06.19 17:41:43 | 126,850,486 | ---- | C] (Igor Pavlov) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\OTLPENet.exe
[2010.06.19 17:40:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Trojan_Tools
[2010.06.19 14:27:07 | 000,000,000 | ---D | C] -- C:\Programme\Realtek
[2010.06.19 11:37:00 | 000,000,000 | ---D | C] -- C:\Programme\devolo
[2010.06.19 11:32:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.06.17 20:58:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mein_Admin.LN-NOTEBOOK01\Anwendungsdaten\atitray
[2010.06.12 16:07:54 | 000,000,000 | ---D | C] -- C:\XPCD-SP3
[2010.06.12 15:46:51 | 000,000,000 | ---D | C] -- C:\xpboot
[2010.06.12 15:27:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\MustRead
[2010.06.10 16:32:06 | 000,000,000 | ---D | C] -- C:\XPCD
[2010.06.09 19:59:04 | 000,000,000 | ---D | C] -- C:\DriveTemp
[2010.06.09 19:18:31 | 000,000,000 | ---D | C] -- C:\esd
[2010.06.09 15:34:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Rad
[2010.06.09 11:20:33 | 000,532,480 | ---- | C] (Pegasus Software, LLC) -- C:\WINDOWS\System32\imagx5.dll
[2010.06.09 11:20:33 | 000,507,904 | ---- | C] (Pegasus Software,LLC) -- C:\WINDOWS\System32\imagr5.dll
[2010.06.09 11:20:33 | 000,275,312 | ---- | C] (Pegasus Software, LLC) -- C:\WINDOWS\System32\ImagXpr5.dll
[2010.06.09 11:20:33 | 000,106,496 | ---- | C] (Pegasus Software) -- C:\WINDOWS\System32\TwnLib20.dll
[2010.06.09 11:20:33 | 000,035,328 | ---- | C] (Pegasus Imaging Corp.) -- C:\WINDOWS\System32\picn20.dll
[2010.06.09 11:20:32 | 000,155,648 | ---- | C] (Ahead Software Gmbh) -- C:\WINDOWS\System32\NeroCheck.exe
[2010.06.09 11:20:32 | 000,000,000 | ---D | C] -- C:\Programme\Ahead
[2010.06.09 00:18:49 | 328,324,136 | ---- | C] (Microsoft Corporation) -- C:\Programme\WindowsXP-KB936929-SP3-x86-DEU.exe
[2010.06.08 23:59:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Macromedia
[2010.06.08 19:23:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Avira
[2010.06.08 10:10:48 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2010.06.08 10:10:31 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.06.08 10:10:31 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.06.08 10:10:31 | 000,051,992 | ---- | C] (AVIRA GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.06.08 10:10:31 | 000,017,016 | ---- | C] (AVIRA GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.06.08 10:09:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
[2010.04.24 12:24:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Macrovision
[2010.04.09 16:54:50 | 000,000,000 | ---D | C] -- C:\Programme\TuneUp Utilities 2004
[2010.03.23 09:19:25 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Brother
[2010.03.19 12:38:37 | 000,015,040 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\winddx.sys
[2009.12.15 19:41:59 | 001,301,488 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\mtlstrm.sys
[2009.12.15 19:41:59 | 000,635,152 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\slntamr.sys
[2009.12.15 19:41:59 | 000,230,656 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\mtlmnt5.sys
[2009.12.15 19:41:59 | 000,180,664 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\ntmtlfax.sys
[2009.12.15 19:41:59 | 000,095,760 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\slnthal.sys
[2009.12.15 19:41:59 | 000,013,912 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\RecAgent.sys
[2009.12.15 19:41:59 | 000,013,312 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\slwdmsup.sys
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 90 Days ==========

[2010.06.20 14:13:57 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.06.20 14:13:41 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.06.20 14:13:37 | 000,308,400 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.06.20 14:12:19 | 003,121,152 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\ntuser.dat
[2010.06.20 14:12:19 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Mein~01\ntuser.ini
[2010.06.20 14:03:02 | 000,000,293 | ---- | M] () -- C:\WINDOWS\Brownie.ini
[2010.06.20 14:03:02 | 000,000,023 | ---- | M] () -- C:\WINDOWS\BRDIAG.INI
[2010.06.20 14:03:02 | 000,000,019 | ---- | M] () -- C:\WINDOWS\System32\bd2030.dat
[2010.06.20 14:03:02 | 000,000,011 | ---- | M] () -- C:\WINDOWS\BRVIDEO.INI
[2010.06.20 11:30:50 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\OTL.exe
[2010.06.19 18:54:33 | 000,014,560 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Eigene Dateien\cc_20100619_185342.reg
[2010.06.19 18:44:28 | 000,000,695 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.06.19 18:41:40 | 000,001,531 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\CCleaner.lnk
[2010.06.19 18:41:08 | 006,153,352 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\mbam146-setup.exe
[2010.06.19 16:36:58 | 126,850,486 | ---- | M] (Igor Pavlov) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\OTLPENet.exe
[2010.06.19 15:54:20 | 001,046,736 | ---- | M] (Driver Whiz ) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Driverwhiz.exe
[2010.06.19 13:54:56 | 008,776,240 | ---- | M] (SUPERAntiSpyware.com) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\SUPERAntiSpyware.exe
[2010.06.19 13:54:22 | 003,387,040 | ---- | M] (Piriform Ltd) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\ccsetup232.exe
[2010.06.19 13:18:00 | 000,120,832 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\tweakui.exe
[2010.06.18 17:16:15 | 000,000,406 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2010.06.17 21:43:40 | 722,307,228 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Image.nrg
[2010.06.17 20:25:28 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.06.17 20:16:38 | 721,999,872 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\ADRIANE-KNOPPIX_V6.2.1CD-2010-01-31-DE.iso
[2010.06.16 18:18:21 | 000,137,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Dok1.doc
[2010.06.12 18:31:16 | 674,273,436 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Image_xpcd_de.nrg
[2010.06.12 17:52:33 | 001,243,884 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\ISO1_100611.nrb
[2010.06.10 18:25:27 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.06.10 10:38:49 | 000,372,224 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Systemeigenschaften_100609.doc
[2010.06.09 22:31:10 | 000,101,398 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Nebis_Kontoauszug_100609.pdf
[2010.06.09 11:23:11 | 000,000,747 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Nero Express.lnk
[2010.06.08 23:50:45 | 000,091,496 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\restoreFilesDataKeeper_02.pdf
[2010.06.08 23:47:04 | 000,086,049 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein_Admin.LN-NOTEBOOK01\Desktop\restoreFilesDataKeeper_01.pdf
[2010.06.08 23:16:11 | 000,729,988 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.06.08 23:16:11 | 000,320,094 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.06.08 23:16:11 | 000,314,508 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.06.08 23:16:11 | 000,049,174 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.06.08 23:16:11 | 000,040,836 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.06.08 16:36:57 | 000,000,432 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2010.06.08 10:24:47 | 000,376,130 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\TrojanerBoard_Anleitung.pdf
[2010.06.08 10:11:30 | 000,001,835 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Avira AntiVir Control Center.lnk
[2010.05.25 12:31:59 | 000,000,400 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2010.05.25 12:31:46 | 000,011,454 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Microsoft Access.TSK
[2010.05.15 12:11:29 | 000,011,504 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Tabulatorgetrennte Werte (DOS).TSK
[2010.05.15 12:10:31 | 000,008,025 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Microsoft Excel.TSK
[2010.05.12 15:32:48 | 000,025,088 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Eigene Dateien\ToDo_ListDoku.doc
[2010.04.29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.24 15:29:09 | 000,000,156 | ---- | M] () -- C:\WINDOWS\matlab.ini
[2010.04.24 12:23:19 | 000,000,073 | ---- | M] () -- C:\WINDOWS\Upgrade.INI
[2010.04.09 16:55:04 | 000,000,826 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\TuneUp Utilities 2004.lnk
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.06.20 14:03:02 | 000,000,019 | ---- | C] () -- C:\WINDOWS\System32\bd2030.dat
[2010.06.19 18:53:47 | 000,014,560 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Eigene Dateien\cc_20100619_185342.reg
[2010.06.19 18:44:28 | 000,000,695 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.06.19 18:41:40 | 000,001,531 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\CCleaner.lnk
[2010.06.19 17:44:02 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2010.06.19 17:42:04 | 000,120,832 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\tweakui.exe
[2010.06.17 21:50:19 | 721,999,872 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\ADRIANE-KNOPPIX_V6.2.1CD-2010-01-31-DE.iso
[2010.06.17 21:40:39 | 722,307,228 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Image.nrg
[2010.06.12 18:06:32 | 674,273,436 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Image_xpcd_de.nrg
[2010.06.12 17:52:33 | 001,243,884 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\ISO1_100611.nrb
[2010.06.10 10:41:56 | 003,121,152 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\ntuser.dat
[2010.06.10 10:38:49 | 000,372,224 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Systemeigenschaften_100609.doc
[2010.06.09 22:31:10 | 000,101,398 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Nebis_Kontoauszug_100609.pdf
[2010.06.09 11:34:42 | 002,468,735 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\isobuster_all_lang.zip
[2010.06.09 11:23:11 | 000,000,747 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Nero Express.lnk
[2010.06.09 11:20:42 | 000,069,086 | ---- | C] () -- C:\WINDOWS\Unnero.cfg
[2010.06.08 23:50:45 | 000,091,496 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\restoreFilesDataKeeper_02.pdf
[2010.06.08 23:47:04 | 000,086,049 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\restoreFilesDataKeeper_01.pdf
[2010.06.08 10:24:47 | 000,376,130 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\TrojanerBoard_Anleitung.pdf
[2010.06.08 10:11:29 | 000,001,835 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Avira AntiVir Control Center.lnk
[2010.05.25 10:43:00 | 000,011,454 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Microsoft Access.TSK
[2010.05.15 12:11:29 | 000,011,504 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Tabulatorgetrennte Werte (DOS).TSK
[2010.05.15 12:06:57 | 000,008,025 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Microsoft Excel.TSK
[2010.05.12 15:25:26 | 000,025,088 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Eigene Dateien\ToDo_ListDoku.doc
[2010.05.08 16:18:39 | 000,137,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Dok1.doc
[2010.05.07 15:25:11 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.04.24 12:23:19 | 000,000,073 | ---- | C] () -- C:\WINDOWS\Upgrade.INI
[2010.04.09 16:55:04 | 000,000,826 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\TuneUp Utilities 2004.lnk
[2010.03.19 12:38:37 | 000,528,384 | ---- | C] () -- C:\WINDOWS\System32\SLLights.dll
[2010.03.19 12:38:37 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\amr_cpl.dll
[2010.03.19 12:38:37 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\SLMOHServ.dll
[2010.02.02 17:11:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\bgspmnt.dll
[2009.12.17 12:46:41 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009.12.17 12:23:17 | 000,000,023 | ---- | C] () -- C:\WINDOWS\BRDIAG.INI
[2009.12.17 12:23:17 | 000,000,011 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI
[2009.12.17 12:23:17 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini
[2009.12.17 12:21:41 | 000,000,293 | ---- | C] () -- C:\WINDOWS\Brownie.ini
[2009.12.16 01:08:00 | 000,000,011 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.ini
[2009.12.15 19:41:59 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\slextspk.dll
[2009.12.15 19:41:59 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\SLGen.dll
[2009.12.15 19:41:59 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\coinst.dll
[2009.11.22 11:22:37 | 000,003,460 | ---- | C] () -- C:\WINDOWS\LITERAT.INI
[2009.11.18 18:42:28 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\UnAudioNT.dll
[2009.11.18 18:35:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Amibcp.INI
[2009.11.18 18:26:47 | 000,041,324 | ---- | C] () -- C:\WINDOWS\System32\winio.sys
[2009.11.18 18:26:03 | 000,000,156 | ---- | C] () -- C:\WINDOWS\matlab.ini
[2009.11.18 17:36:58 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.11.18 15:32:25 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2009.11.18 15:31:27 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2003.04.17 13:35:00 | 000,651,264 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll
[2003.04.17 13:35:00 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll
[2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2000.10.16 13:01:38 | 000,225,280 | ---- | C] () -- C:\WINDOWS\System32\Scint100.dll
[2000.10.16 13:01:38 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\sccres100.dll

========== LOP Check ==========

[2008.01.19 22:28:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
[2006.01.02 15:41:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL SpeedManager
[2006.01.02 14:18:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2007.05.17 16:45:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2005.09.15 10:47:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2009.11.22 11:13:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software
[2005.11.08 15:37:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\T-DSL SpeedManager
[2008.05.07 12:56:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mei~\Anwendungsdaten\Bullzip
[2009.07.01 11:00:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mei~\Anwendungsdaten\Flowmaster Limited
[2008.02.14 11:39:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mei~\Anwendungsdaten\TuneUp Software
[2009.12.21 15:52:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Bullzip
[2009.11.22 11:10:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\TuneUp Software
[2010.06.18 17:16:15 | 000,000,406 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job

========== Purity Check ==========

========== Custom Scans ==========

< %SYSTEMDRIVE%\*.* >
[2005.09.14 23:52:56 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2005.10.05 11:19:44 | 007,897,088 | ---- | M] () -- C:\avwinsfx.exe
[2004.07.09 10:13:46 | 000,703,080 | ---- | M] () -- C:\BDA.cab
[2007.11.10 16:24:31 | 000,000,362 | ---- | M] () -- C:\BDA.cab
[2004.07.19 23:58:36 | 001,156,363 | ---- | M] () -- C:\BDANT.cab
[2007.11.10 16:24:38 | 000,000,374 | ---- | M] () -- C:\BDANT.cab
[2004.07.19 23:53:26 | 000,976,020 | ---- | M] () -- C:\BDAXP.cab
[2007.11.10 16:24:46 | 000,000,374 | ---- | M] () -- C:\BDAXP.cab
[2009.11.18 16:04:59 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2004.08.04 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2005.09.14 23:52:56 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2004.07.09 10:13:48 | 015,493,481 | ---- | M] () -- C:\DirectX.cab
[2007.11.10 16:24:48 | 000,000,386 | ---- | M] () -- C:\DirectX.cab
[2004.07.09 04:03:10 | 000,062,976 | ---- | M] (Microsoft Corporation) -- C:\DSETUP.dll
[2004.07.09 05:08:34 | 002,242,560 | ---- | M] (Microsoft Corporation) -- C:\dsetup32.dll
[2004.07.09 15:17:16 | 013,265,040 | ---- | M] () -- C:\dxnt.cab
[2007.11.10 16:24:49 | 000,000,369 | ---- | M] () -- C:\dxnt.cab
[2004.07.09 05:08:36 | 000,472,576 | ---- | M] (Microsoft Corporation) -- C:\dxsetup.exe
[2007.11.10 16:24:30 | 000,000,799 | ---- | M] () -- C:\EUROTOOL.XLA.LNK
[2007.11.10 16:26:15 | 000,019,363 | ---- | M] () -- C:\Excel11.xlb
[2005.09.14 23:52:56 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2007.11.10 16:24:51 | 000,000,279 | ---- | M] () -- C:\Lokaler Datenträger (C).LNK
[2007.11.10 16:24:30 | 000,000,684 | ---- | M] () -- C:\Makro.LNK
[2004.07.22 11:51:34 | 003,432,656 | ---- | M] () -- C:\ManagedDX.CAB
[2007.11.10 16:24:50 | 000,000,398 | ---- | M] () -- C:\ManagedDX.CAB
[2005.09.14 23:52:56 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2004.08.04 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2004.08.04 14:00:00 | 000,251,184 | RHS- | M] () -- C:\ntldr
[2010.06.20 14:13:36 | 805,306,368 | -HS- | M] () -- C:\pagefile.sys
[2006.12.15 23:10:27 | 000,000,097 | ---- | M] () -- C:\RTSPNetSrc.log
[2007.11.10 16:24:51 | 000,000,403 | ---- | M] () -- C:\RTSPNetSrc.log
[2006.01.02 14:39:45 | 000,000,309 | ---- | M] () -- C:\ToCaclLg.txt
[2007.11.10 16:24:51 | 000,000,393 | ---- | M] () -- C:\ToCaclLg.txt
[2005.12.12 14:00:52 | 000,000,187 | ---- | M] () -- C:\touchpad.log
[2007.11.10 16:24:51 | 000,000,393 | ---- | M] () -- C:\touchpad.log

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< %systemroot%\Tasks\*.job /lockedfiles >

< %systemroot%\System32\config\*.sav >
[2009.11.18 16:49:09 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2009.11.18 16:49:08 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2009.11.18 16:49:08 | 000,446,464 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav

< %systemroot%\system32\drivers\*.sys /90 >
[2010.04.29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\system32\drivers\mbam.sys
[2010.04.29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys

< %systemroot%\system32\user32.dll /md5 >
[2004.08.04 14:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\system32\user32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< %systemroot%\system32\ws2_32.dll /md5 >
[2004.08.04 14:00:00 | 000,082,944 | ---- | M] (Microsoft Corporation) MD5=D569240A22421D5F670BB6FB6DD522B5 -- C:\WINDOWS\system32\ws2_32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs >

========== Alternate Data Streams ==========

@Alternate Data Stream - 113 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

FC5A2B2
< End of report >

Larusso · 20.06.2010, 14:37

Macht das netbook probleme ?

19.06.2010, 18:45	#21
Larusso /// Selecta Jahrusso	wie verschiebe ich von malware gefundene, infizierte programme in Quarantäne? Ne das ist einfach ne Software die als gefaket eingestuft wird. Sagte ich nicht wir sehen uns das an wenn alles mit dem anderen PC getan ist? Nimm dir nicht zuviel auf einmal vor, das verwirrt dich und auch mich. __________________ --> wie verschiebe ich von malware gefundene, infizierte programme in Quarantäne?

20.06.2010, 14:02	#26
Larusso /// Selecta Jahrusso	wie verschiebe ich von malware gefundene, infizierte programme in Quarantäne? Starte bitte OTL.exe und klicke auf den Quick Scan Button. __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

20.06.2010, 14:37	#30
Larusso /// Selecta Jahrusso	wie verschiebe ich von malware gefundene, infizierte programme in Quarantäne? Macht das netbook probleme ? __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

wie verschiebe ich von malware gefundene, infizierte programme in Quarantäne?

Plagegeister aller Art und deren Bekämpfung: wie verschiebe ich von malware gefundene, infizierte programme in Quarantäne?