wie verschiebe ich von malware gefundene, infizierte programme in Quarantäne?
 

Hallo zusammen,
malwarebytes Version 1.46 hat 114 infizierte Dateien auf meinem Computer gefunden und bietet mir an,alle zu entfernen.
Ich möchte sie zunächst lieber nur in Quarantäne verschieben, diese Funktion steht aber nicht zur Verfügung, bzw. das Anklicken irgendwelcher Reiter wird nicht angenommen.

Kann ich die Dateien tatsächlich nur entfernen?
Ich habe Angst, dass das System nachher nicht mehr läuft, viele infizierte Dateien in System Volume Information-Ordnern (*.exe-files), in Temp-Dateien (exe-files), 1 Datei in system32/drivers-Ordner.

Kann den logfile auch posten, er ist aber sehr lang, daher vorab die Anfrage ohne ihn.

Gefundene Trojaner:
trojan.dropper
trojan.downloader
trojan.fraudpack

Vielen Dank im Voraus für nützliche Informationen!
Gruß, Ellen

Entfernen schiebt diese in Quarantäne ;)

Super!

Vielen herzlichen Dank für die schnelle Antwort! Ich hatte befürchtet, "entfernen" löscht sie endgültig.

Gruß,
Ellen

Würdest Du mir trotzdem mal zeigen was da so gefunden wurde ?

Gerne, hier das logfile.

Was mich wirklich ärgert ist, dass IE8 anscheinend noch vorhanden ist, ich hatte dieses Drecks-PRogramm eigentlich gelöscht ...

Das ist mehr zu tun.


Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.
• Bitte keine Code Tags.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Ist Dir folgendes Benutzerkonto bekannt ?
HelpAssistant.ATHLON64.000


Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 3

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Save" und speichere das Log als "Gmer.txt" auf dem Desktop, Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt
Gmer.txt

erstmal vielen Dank für die ausführliche Anleitung.
Inzwischen habe ich mit die mit Malwarebytes identifizierten Dateien in "entfernt", also in Quarantäne gesteckt.
Gerade läuft ein kompletter Scan mit Avira Antivir, was mir in den letzten Tagen und jetzt auch beim Scan einige Meldungen für Malware bringt. Das lasse ich noch zu Ende laufen.

Dann habe ich noch ein paar Fragen zur BEreinigung selbst, bevor ich damit starte.
zu SChritt 2:
- den Inhalt aus dem gelb hinterlegten Fenster in die Textbox kopieren?

zu Schritt 3:
- auch nach dem Scan mit OTL den REchner bereits neu starten?
- die unter Schritt 2 genannten Ergbnisse *-txt erst nach Schritt 3 posten
oder wie geschrieben nach Schritt 2 und gmer.txt nach Schritt 3?

Soll ich vor dem Bereinigungsstart noch die Avira-Meldungen posten?

Eine Formatierung möchte ich vorerst vermeiden. Ich habe vor einiger Zeit ein Simulationsprogramm (legal!) installiert, dessen Installationsdateien ich nicht mehr habe und nicht mehr ohne Weiteres von dort bekommen kann.
Wenn es also mit einer Bereinigung geht, dann lieber damit.

Ein Kollege dort empfahl mir noch, die Platte zu spiegeln und damit das Programm zu retten, aber ich weiß nicht, ob ich die Viren/Trojaner dann mitspiegle und überhaupt was gewonnen habe. Vielleicht kannst du mir dazu eine Einschätzung geben?
ICh hatte gestern nacht schon mit einem kompletten Backup begonnen, was aber nicht mehr durch gelaufen ist. ISt mir noch nie passiert, ich nehme an, das hängt mit der Verseuchung zusammen.
Wenn das eine Option ist, um die Daten zu retten, dann würde ich die Bereinigung durchlaufen lassen, anschließend Backup/Spiegelung und entweder bestehende Platte neu formatieren oder gleich eine größere Ersatzplatte mit mehr GB. So lange ich damit nicht alle Malware mit übertrage.

MAcht es mehr Sinn, mit der BEreinigung erst morgen zu starten? Wird wohl eine Nachtschicht werden, und ich möchte lieber sicher gehen, dass jemand vom Team erreichbar ist.

Gruß,
Ellen
ICh habe vergeblich versucht, IE8 zu entfernen, über alle möglichen Wege. ISt hartnäckig.

zu schritt 2

Den Inhalt des gelben Feldes einfach in die Box von OTL kopieren. wenn Du OTL offen am Desktop hast, wirst du es schon nicht übersehen.

Du brauchst den Rechner nicht nach OTL neu starten.

Am besten wäre es, wenn Du mir alle 3 *.txt files auf einmal postest.

Für ein vollständiges Backup ist es zu spät, wenn du schon eines hast, kannst Du dieses einspielen.
Eine Spiegelung von einer kompromittierten Platte ist dezent sinnfrei. Das ist ja wirklich nur eine Kopie der Festplatte.

Wenn Du Daten richtig sicherst, dann kopierst Du zu 95% keine Malware mit.

Die InstallationsDateien der Software (und alles andere) kannst ja sichern, dann scannen wir das Backup durch und wenn das clean ist, dann kannst in Ruhe formatieren und hast ein garantiert sauberes System. Deine Entscheidung.
Und eine Bereinigung ist mit Sicherheit nicht weniger Aufwand.

Hier mal ein bisschen Lesestoff
http://www.trojaner-board.de/75622-d...ittierung.html
http://www.trojaner-board.de/51262-a...sicherung.html
Neuaufsetzen (Windows XP, Vista und Windows 7) - Anleitungen

PS: IE8 gehört zu Windows, den kann man nicht einfach mal so killen. Ich hab selbst für MSN 3 Stunden gebraucht um es zu 90% weg zu bekommen. M$ ftw ;)

Hallo Daniel,
noch ein paar dumme Fragen hinten dran, dann brauch ich glaub i erstmal ne Pause. :-)
Die Anleitungen lese ich mir nachher noch durch, vielen Dank dafür, habe sowas auch teils schon gemacht, ist halt ne Weile her.
Ich habe noch ein älteres komplettes (zu dem Zeitpunkt) Backup von 2009 (ich war dieses Jahr etwas nachlässig...:-( ), das könnte ich im Notfall zumindest für die C-Partition (alle meine Programme und Betriebssystem) verwenden.
--> Frage: Anscheinend sind nur Dateien auf dieser c:-Platte infiziert. Kann ich dann die restlichen Partitionen (sind "echte") jetzt noch gefahrenlos einem Backup unterziehen/Inhalte auf externe Festplatte kopieren?

IE8 ist ein Mist, zu entfernen, ich weiß, selbst über die Windows-KOnfiguration lässt sichs nicht leicht machen. Habe ich "versehentlich" installiert, bei einem der Windows updates. Haken falsch gesetzt und schon wars zu spät. ISt ein Riesendreck ...

Ich poste die Durchläufe der Scans. Entweder heute spät/Nacht oder morgen.

Gruß,
Ellen

Für gewöhnlich nistet sich Malware auf der Systempartition ein, kann aber auch überspringen.

Lese Dir einmal diesen Post von Petra durch.

Du kannst ja mal ein Backup machen und nach dieser Anleitung prüfen ob noch was da ist :)

Hallo Daniel,
ich habe ein Desaster erlebt. Nachdem ich gestern den Scan mit Malwarebytes abgeschlossen und den ersten Scan mit OTL laufen lassen wollte, kann ich mich seit heute nicht mehr anmelden. Der PC bootet nicht mehr vollständig hoch. Ich komme bis zur Anmeldeseite, kann noch das Kennwort für den benutzer angeben, dann nimmt er nicht mal mehr die BEstätigung an.
Booten von CD habe ich heute schon probiert, nimmt er auch nicht mehr an.
Jetzt versuche ich noch ein bootfähige USB zu erstellen.
Ist das ein bekanntes Problem???
Ich hoffe, dass ich - wenn ich erstmal wieder Zugriff habe, die Dateien wieder aus der Quarantäne entfernen und dann die Bereinigung ohne Malwarebytes starten. :-((
Irgendwelche Tipps für mich???
DAnke und GRuss,
Ellen

Um von CD zu booten musst Du das im BIOS umstellen.

Bootfähige USBs muss nicht unbedingt klappen.


Ok diese Anleitung ist groß. Drucke sie dir aus damit du weißt was du tun must.

Zwei Programme sind zu downloaden.

Schritt 1

ISOBurner
Dies wird dir erlauben die OTLPE ISO auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch. Wie brenne ich eine ISO Datei auf CD/DVD


Schritt 2

• Download OTLPE.iso und brenne es mit ISOBurner auf eine CD. NOTE: Die Datei ist 292MB groß und wird deshalb ein wenig dauern bis du sie gedownloadet hast.
• Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen.
• Starte dein System neu und boote von der CD die du gerade erstellt hast.
  Note : Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten, dann folge diesen Schritten hier
• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Entsichere die Box "Automatically Load All Remaining Users" wenn sie gewählt ist und drücke OK.
• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\OTL.txt gesichert
• Kopiere diese Datei auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt der OTL.txt Datei in diesen Thread.

hallo Daniel,
danke, dass du schon geantwortet hast.
Der Link zu OTLPE.iso gibt nur Fehlermeldungen aus, ich habe die DAtei auch so nicht irgendwo als DOwnload gefunden.

Ich hatte die Prioritäten im Bios umgestellt, alles probiert, sogar nur booten von CD und keine andere Möglichkeiten, hat er nicht genommen. Hat die CD irgendwie gar nicht erkannt. Lege ich sie in einen anderen Rechner ein, wird sie erkannt. -?

Kennst du den PEBuilder für bootable USBs? Soll funktionieren, ich werds beides probieren.

Schätze, vor morgen komme ich nicht viel weiter. WErde dir berichten, wie ich voran komme.

Gruss,
Ellen

Sorry, Link wurde geändert :)

Falls Du kein Brennprogramm hast, lade dir ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo, ich bin wieder da ...
In der Zwischenzeit ist einiges passiert,mein ursprünglich befallener Rechner ist "nicht mehr ansprechbar".Ich habe mit einer Linux-Live-CD (Knoppix) mal die wichtigsten letzten Daten herunter geholt auf eine mobile Festplatte, weil ich sei gerade dringendst für eien Arbeit benötige. habe einen alten Rechner reaktiviert, vor Inbetriebnahme neue Antivirenprogramme, alle Windows-Updates und SP's installiert.
Antivir bringt mir dort jetzt zwei Trojanermeldungen:
G:\System Volume Information\_restore{309F8E42-4E09-44D8-A2C2-66DA630BC76B}\RP33\A0019003.exe
Datei G:\System Volume Information\_restore{309F8E42-4E09-44D8-A2C2-66DA630BC76B}\RP31\A0017795.exe
sollen der Trojaner TR/Dropper.Gen
sein. Die Dateien sind vom 01.03.2006

Wenn ich seit gestern die mobile Festplatte unter einem anderem als dem jetzigen Benutzer an den Rechner anschließe, hängt er sich auf. Dachte, dass das am Rechner läge, weil er eh schon ziemlich hinüber war (deswegen ausrangiert) und einige "Wackelkontakte" hat.
Habe also meine Datenrettung via Notebook und mobile Festplatte erledigt.
Seit heute früh: steck ich die mob FP rein, passiert dasselbe wie vorher unter einem anderen Benutzerkonto hier.
Habe meinen USB-Stick mit Antivir letztes Update) gescannt: keine Viren.
Habe vor der Datenübertragung von mobiler FP auf das Notebook die Laufwerke mit den Daten vom verseuchten Rechner mit neuestem Antivir gescannt: angeblich "sauber".

Ich glaube aber nicht mehr, dass Antivir alles findet.

Sieht für mich nach einer Menge Arbeit aus ...
MEine Überlegung, vorzugehen:
- zunächst den aktuellen, reaktivierten Rechner säubern (sind bislang nur diese beiden Funde). die G:\Partition ist eigentlich nicht Betriebssystem. Habe alle meine Rechner/Notebooks mit echten Partitionen versehen, so dass auch hier das Betriebssystem auf C:\ ist, zusammen mit anderen Anwendungsprorgrammen (vielleicht sollte ich auch das in Zukunft trennen .. ein Tipp hierzu wäre hilfreich).
Mit diesem Rechner habe ich hier Internetzugang und einen funktionsfähigen Brenner. Außerdem habe ich den Rechner von den meisten "Dateien" befreit, ein/zwei Programme laufen dort, die ich nicht wirklich verlieren wollte.
- dann /parallel die mobile Festplatte scannen bzw. von Viechern befreien. Befinden sich jetzt SEHR VIELE und eigentlich alle meine Daten, Programme etc. drauf. Will ich auf gar keinen Fall verliern, oder wenn dann nur eingeschränkt.
- ich brenne gerade die wichtigsten Daten auf CD's, so lange der reaktivierte Rechner mitspielt. Insgesamt sind es aber viel zu viele CD's, die da brennen wären ...
- dann mein Notebook " sicher machen", für alle Fälle. Das sollte eigentlich auch schon ersetzt werden wegen Hardwareproblemen (ein GEricom-Mistgerät!Der größte Schrott), ich benötige es aber gerade dringendst zum Arbeiten und Schreiben. HAt aber (noch)ziemlich Probleme mit der Netzwerkkarte, also kein zuverlässiger Internetzugang damit hier über LAN.

wenn das alles geschafft ist bzw. zumindest der reaktivierte Rechner sicher läuft und meine Daten sicher sind, dann oder halbwegs parallel möchte ich den eigentlichen, aktuellen Rechner in Angriff nehmen.
Inzwischen glaub ich kaum noch, dass ich da was retten kann.

Ergo:
Soll ich mit dem momentanen Arbeitsrechner so vorgehen (dieselben Scanprogramme etc?) wie bei dem ursprünglich befallenen Rechner oder gibts für die beiden Funde oben eine andere Vorgehensweise?

Vielen DAnk jetzt schon für die Unterstützung! Nach all dem werde ich um einiges schlauer sein, was PC-Sicherheit angeht ... :-)

Gruß
Ellen

Die beiden Funde sind irrelevant.

Also hast du auf der Externen Festplatte jetzt einfach mal so alles mitgesichert ?
Oder doch nur das wichtigste. Sorry ist ein bisschen verwirrend was du da schreibst

Hallo Daniel,
inzwischen habe ich heraus gefunden, woher die beiden Funde stammen:
Ich hatte mal gemeinsam mit einem Freund edonkey2000 ausprobiert, das scheint noch daher zu stammen. Dann kann ichs aber wohl auch unbedenklich löschen... ?
Ich werde dann trotzdem noch einen Scan mit malwarebytes starten auf diesem Interimsrechner hier, nur zur Sicherheit... oder gibts ein besseres Tool?

Von dem ursprünglich verseuchten Rechner sind die meisten, noch nicht alle Daten herunter gezogen. Ich hatte vor zwei Tagen zunächst damit begonnen, die bereits herunter gezogenen wieder zu verwenden bzw. aufs Notebook zu übertragen, weil auch die Platte zu voll wurde und eben wegen des Arbeiten/Schreibens. Dabei ist es ja dann heute früh dazu gekommen, dass der Bildschirm des Notebooks plötzlich mit unendlichen Reihen von weißen, senkrechten Strichen überzogen wurde, als ich die mobile Platte eingesteckt habe. Viell. liegts auch am NB selbst, keine Ahnung. DAs ist ja auch nicht das Tollste. Aber bisher gabs da kein Problem mit der mobilen FP.

Zu den Daten: wenns notwendig fürs weitere VOrgehen ist,ziehe ich den Rest via Knoppix noch vom verseuchten Rechner.
Und dann? :-) auf jeden Fall keine Angst vor LAngeweile dieses We ...
GRuß
Ellen

Wenn die Daten gesichert sind würde ich dir ganz einfach Formatieren und neu aufsetzen vorschlagen.

Dann ist das in ein paar Stunden erledigt und der PC ist zu 100% clean ohne größerem Aufwand :)

Die Externe Platte noch mit mind 2 Online Scannern prüfen bevor du sie auf das frisch aufgesetzte System anschließt.

• ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button "ESET Online Scanner" drücken.
• Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
• Das Firefox-Addon auf dem Desktop speichern und dann installieren.
• IE-User müssen das Installieren eines ActiveX Elements erlauben.
• Einen Haken bei "Remove found threads" und "Scan archives" machen.
• Start drücken.
• Signaturen werden heruntergeladen.
• Der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
• IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
• O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

• Kaspersky Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
• Java muss installiert, aktiv und erlaubt sein.
• Bebilderte Anleitung von sundavis.
• Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
• Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
• Die Datenschutzerklärung akzeptieren.
• Programm installieren lassen.
• Update der Signaturen installieren lassen.
• Wenn der Status "Complete" ist,
• Scan-Einstellungen (Settings) Standard lassen
• Links den Link "My Computer" anklicken.
• Scan beginnt automatisch.
• Wenn der Scan fertig ist, auf "View scan report" klicken,
• "Save report as" und Dateityp auf .txt umstellen,
• und auf dem Desktop als Kaspersky.txt speichern.
• Logdatei hier posten.
• Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

Wenn getan, können wir uns ja auch dein Notebook mal ansehen.

Hallo Daniel,
ein Quickscan mit Malwarebytes beim gerade verwendeten Interimsrechner gab 7 Funde an:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4215

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152942
Laufzeit: 17 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\RegistrySmart (Rogue.RegistrySmart) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\RegistrySmart (Rogue.RegistrySmart) -> No action taken.
C:\Programme\RegistrySmart\Log (Rogue.RegistrySmart) -> No action taken.
C:\Programme\RegistrySmart\Registry Backups (Rogue.RegistrySmart) -> No action taken.

Infizierte Dateien:
C:\Programme\RegistrySmart\Results.stg (Rogue.RegistrySmart) -> No action taken.
C:\Programme\RegistrySmart\Log\log_2007_02_13_12_40_49.eklog (Rogue.RegistrySmart) -> No action taken.
C:\Programme\RegistrySmart\Registry Backups\2007-02-13_12-46-13.reg (Rogue.RegistrySmart) -> No action taken.

ich habe noch nichts weiter unternommen. Ist es riskant, diese Dateien in Quarantäne zu stecken?

Gruß,
ELlen

P.S.:
ich habe eine Deaktivierung von Autorun/Autoplay vorgenommen, über regedit bzw. mit TweakUI, können die Registry-Meldungen von da kommen?
Ellen

Ne das ist einfach ne Software die als gefaket eingestuft wird.

Sagte ich nicht wir sehen uns das an wenn alles mit dem anderen PC getan ist?
Nimm dir nicht zuviel auf einmal vor, das verwirrt dich und auch mich.

Das ist richtig (mit dem anderen PC), nur will ich mit dem hier keine weiteren Risiken eingehen und brauche ihn ja so lange zur Überbrückung. Das andere wird wenigstens einen Tag oder mehr brauchen (wegen Unterbrechungen).
Danke für die Antwort! Ich hab die Einträge entfernt, mal schauen was passiert. Kann mich eh nicht erinnern, wo das her gekommen ist, war schon alt.
Gruß,
Ellen
P.S.: Der Scan hat die mobile FP mit einbezogen, zumindest mit dem Quickscan war da also nichts.

Dann sehen wir über den Notebook mal drüber :)

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo Daniel,
der Notebook-Scan hängt sich jedesmal am C:\WINDOWS\PIF-Ordner auf, der ein völlig abstruses Datum aufweist. (2099 "übersetzt", in der Eigenschaftsanzeige "6. April 15810"
Da der Ordner keine Dateien enthält: kann ich einen "leeren Ersatzordner" mit Bezeichnung PIF erstellen und den anderen dafür löschen? Oder erkennt das System, dass der Ordner nachträglich erstellt wurde und macht dann irgendwelche Probleme?
Schönen Sonntag, :-)
Ellen

P.S. zu Ordner C:\WINDOWS\PIF
im Forum von Malwarebytes wird der Ordner einmal von einem User per Malwarebytes gehandelt, andere stufen ihn als gefahrlos bzw. Systemordner ein (richtig verstanden?)
Das Datum des Ordners war bei denen allerdings "echt". Sollte also ausreichen, einen PIF-Ordner mit gültigem Datum neu zu erstellen... ?
database 1096: Folder C:\WINDOWS\PIF (Trojan.Agent) - Malwarebytes Forum

Gruß,
Ellen

Starte bitte OTL.exe und klicke auf den Quick Scan Button.

Hallo Daniel,
nach einigen Löschungen von alten Dateien mit diesem Datum lief der Scan irgendwann durch.
Noch ne Frage zu dem Post des recht langen logfiles: ist alles von Interesse oder nur bestimmte Abschnitte?
Und was ich mich grundsätzlich schon lang gefragt habe: geben all die geposteten logfiles in den Foren möglichen Hackern eigentlich genügend Informationen, um in ein System zu gelangen?

Die ganze Logfile ist wichtig. Es zählt jedes noch so kleine Detail ;)

Und ne, die Logfiles enthalten zwar vorhandene Software und eventuell schwächen aber gefährlich ist das ganze nicht. Erstens, müsste er einmal wissen wer Du bist und zweitens hackt heutzutage kaum noch wer einen privat PC. Dazu gibt es einfachere Wege (Trojaner) :)

Hier also das Ergebnis des Scans:

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan

========== Processes (SafeList) ==========

PRC - [2010.06.20 11:30:50 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\OTL.exe
PRC - [2010.04.01 13:33:15 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Programme\AVPersonal\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.03.02 11:28:23 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Programme\AVPersonal\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\AVPersonal\Avira\AntiVir Desktop\sched.exe
PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\AVPersonal\Avira\AntiVir Desktop\avshadow.exe
PRC - [2010.01.11 16:21:52 | 000,246,504 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.10.28 02:01:00 | 001,794,048 | ---- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanGUI.exe
PRC - [2008.10.28 02:01:00 | 000,364,544 | ---- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanNetService.exe
PRC - [2005.06.30 15:56:42 | 000,114,688 | ---- | M] () -- C:\WINDOWS\system32\spool\drivers\w32x86\3\bgsmsnd.exe
PRC - [2004.08.04 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2004.08.04 14:00:00 | 000,019,456 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\tcpsvcs.exe
PRC - [2004.04.19 09:12:08 | 000,045,056 | ---- | M] ( ) -- C:\WINDOWS\system32\slserv.exe
PRC - [2003.12.16 17:47:42 | 000,376,832 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\ZCfgSvc.exe
PRC - [2003.12.10 02:36:16 | 000,086,016 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE


========== Modules (SafeList) ==========

MOD - [2010.06.20 11:30:50 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mein_~\Desktop\OTL.exe
MOD - [2004.08.04 14:00:00 | 001,050,624 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
MOD - [2004.08.04 14:00:00 | 000,102,400 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx


========== Win32 Services (SafeList) ==========

SRV - [2010.04.01 13:33:15 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\AVPersonal\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\AVPersonal\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.10.28 02:01:00 | 000,364,544 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\avmwlanstick\WLanNetService.exe -- (AVM WLAN Connection Service)
SRV - [2004.11.09 20:18:42 | 000,118,272 | ---- | M] (TuneUp Software GmbH) [On_Demand | Stopped] -- C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe -- (TUWinStylerThemeSvc)
SRV - [2004.08.04 14:00:00 | 000,019,456 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\tcpsvcs.exe -- (SimpTcp)
SRV - [2004.04.19 09:12:08 | 000,045,056 | ---- | M] ( ) [Auto | Running] -- C:\WINDOWS\System32\slserv.exe -- (SLService)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)


========== Driver Services (SafeList) ==========

DRV - [2010.03.01 10:05:19 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.02.16 14:24:01 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 12:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\AVPersonal\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.25 14:29:52 | 000,130,432 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2008.05.13 16:00:16 | 000,035,840 | ---- | M] (CACE Technologies) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\npf_devolo.sys -- (NPF_devolo) NetGroup Packet Filter Driver (devolo)
DRV - [2007.12.05 07:26:40 | 002,782,208 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2007.11.05 09:55:04 | 000,017,952 | ---- | M] () [Kernel | System | Running] -- C:\Programme\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys -- (atitray)
DRV - [2007.01.26 02:00:00 | 000,265,088 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2007.01.26 02:00:00 | 000,004,352 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmeject.sys -- (avmeject)
DRV - [2004.08.16 07:00:00 | 000,159,488 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\vinyl97.sys -- (VIAudio) Vinyl AC'97 Audio Controller (WDM)
DRV - [2004.08.04 14:00:00 | 000,088,448 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx)
DRV - [2004.08.04 14:00:00 | 000,063,232 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb)
DRV - [2004.08.04 14:00:00 | 000,055,936 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx)
DRV - [2004.08.04 14:00:00 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2004.08.03 23:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2004.04.19 06:50:20 | 000,013,912 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\RecAgent.sys -- (RecAgent)
DRV - [2004.04.19 06:42:26 | 000,635,152 | ---- | M] ( ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\slntamr.sys -- (Slntamr)
DRV - [2004.04.19 06:34:36 | 000,095,760 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\slnthal.sys -- (SlNtHal)
DRV - [2004.04.19 06:33:24 | 000,230,656 | ---- | M] ( ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mtlmnt5.sys -- (Mtlmnt5)
DRV - [2004.04.19 06:26:08 | 001,301,488 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mtlstrm.sys -- (Mtlstrm)
DRV - [2004.04.19 06:15:12 | 000,180,664 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ntmtlfax.sys -- (NtMtlFax)
DRV - [2004.04.19 06:04:48 | 000,013,312 | ---- | M] ( ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\slwdmsup.sys -- (SlWdmSup)
DRV - [2004.02.12 05:18:46 | 000,191,092 | ---- | M] (O2 Micro ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\o2mmb.sys -- (CONAN)
DRV - [2004.01.28 18:15:00 | 000,006,100 | ---- | M] (O2 Micro) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\MbxStby.sys -- (MbxStby)
DRV - [2002.09.16 18:14:32 | 000,004,228 | ---- | M] (PowerQuest Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\PQNTDRV.sys -- (PQNTDrv)
DRV - [2002.07.12 15:31:34 | 000,049,096 | ---- | M] (PowerQuest Corp.) [Kernel | Auto | Running] -- C:\Programme\PowerQuest\DataKeeper 5.0\PqFsmonNt.sys -- (PQfsmonNT ABE675CA-49DF-11d3-93F6-00104B64D07B)
DRV - [2001.11.13 09:47:26 | 000,041,324 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\winio.sys -- (WINIO)
DRV - [2001.08.17 14:57:38 | 000,016,128 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\MODEMCSA.sys -- (MODEMCSA)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\S-1-5-21-1659004503-854245398-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
IE - HKU\S-1-5-21-1659004503-854245398-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/ig?hl=de&source=iglk|https://www.bnpparibas-personalinvestors.lu/euroWebLu/-?$part=Particuliers.Desks.Expatriates.languageSelectorLu&$event=selectDE&gclid=CLLa2KHSxKACFdUp3wodxTYDbQ"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0


[2010.01.18 17:04:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Mozilla\Extensions
[2010.06.09 10:46:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Mozilla\Firefox\Profiles\f3sb0hol.default\extensions
[2009.05.09 15:02:35 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2008.03.15 15:56:14 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2008.10.13 20:34:40 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2008.02.19 16:40:48 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2006.12.03 17:59:22 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2006.11.17 13:19:24 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (pdfMachine) - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\system32\spool\drivers\w32x86\3\bgstb.dll ()
O4 - HKLM..\Run: [AtiPTA] C:\WINDOWS\System32\atiptaxx.exe (ATI Technologies, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\AVPersonal\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [bgsmsnd.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\bgsmsnd.exe ()
O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe (Intel(R) Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator.LN-NOTEBOOK01\Startmenü\Programme\Autostart\DataKeeper.lnk = C:\Programme\PowerQuest\DataKeeper 5.0\DataKeeper.exe (PowerQuest Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\mein_admin\Startmenü\Programme\Autostart\DataKeeper.lnk = C:\Programme\PowerQuest\DataKeeper 5.0\DataKeeper.exe (PowerQuest Corporation)
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1659004503-854245398-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\S-1-5-21-1659004503-854245398-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: GreyMSIAds = 1
O7 - HKU\S-1-5-21-1659004503-854245398-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 80 FF FF 01 [binary data]
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\Sebring: DllName - C:\WINDOWS\system32\LgNotify.dll - C:\WINDOWS\system32\LgNotify.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.09.14 23:52:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010.05.28 11:54:05 | 000,028,672 | ---- | M] () - E:\AutoExec.doc -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2009.11.18 16:37:01 | 000,000,000 | ---D | M]
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: WmdmPmSp - File not found

CREATERESTOREPOINT
Restore point Set: OTL Restore Point (54338281256517632)

========== Files/Folders - Created Within 90 Days ==========

[2010.06.20 12:44:19 | 000,000,000 | ---D | C] -- C:\Programme\Brownie
[2010.06.20 11:52:11 | 000,000,000 | ---D | C] -- C:\WINDOWS\PIF
[2010.06.20 11:31:24 | 000,572,416 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\OTL.exe
[2010.06.19 19:20:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Malwarebytes
[2010.06.19 18:50:02 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Mein_Admin.LN-NOTEBOOK01\Recent
[2010.06.19 18:44:24 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.06.19 18:44:20 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.06.19 18:44:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
[2010.06.19 18:44:19 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.06.19 18:41:37 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.06.19 18:41:24 | 006,153,352 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\mbam146-setup.exe
[2010.06.19 17:44:02 | 000,130,432 | ---- | C] (Realtek Semiconductor Corporation ) -- C:\WINDOWS\System32\drivers\Rtnicxp.sys
[2010.06.19 17:42:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mein~01\Desktop\PCI_Install_XP_2K_5719_11202009
[2010.06.19 17:42:03 | 008,776,240 | ---- | C] (SUPERAntiSpyware.com) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\SUPERAntiSpyware.exe
[2010.06.19 17:42:03 | 003,387,040 | ---- | C] (Piriform Ltd) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\ccsetup232.exe
[2010.06.19 17:42:03 | 001,046,736 | ---- | C] (Driver Whiz ) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Driverwhiz.exe
[2010.06.19 17:41:43 | 126,850,486 | ---- | C] (Igor Pavlov) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\OTLPENet.exe
[2010.06.19 17:40:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Trojan_Tools
[2010.06.19 14:27:07 | 000,000,000 | ---D | C] -- C:\Programme\Realtek
[2010.06.19 11:37:00 | 000,000,000 | ---D | C] -- C:\Programme\devolo
[2010.06.19 11:32:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.06.17 20:58:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mein_Admin.LN-NOTEBOOK01\Anwendungsdaten\atitray
[2010.06.12 16:07:54 | 000,000,000 | ---D | C] -- C:\XPCD-SP3
[2010.06.12 15:46:51 | 000,000,000 | ---D | C] -- C:\xpboot
[2010.06.12 15:27:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\MustRead
[2010.06.10 16:32:06 | 000,000,000 | ---D | C] -- C:\XPCD
[2010.06.09 19:59:04 | 000,000,000 | ---D | C] -- C:\DriveTemp
[2010.06.09 19:18:31 | 000,000,000 | ---D | C] -- C:\esd
[2010.06.09 15:34:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Rad
[2010.06.09 11:20:33 | 000,532,480 | ---- | C] (Pegasus Software, LLC) -- C:\WINDOWS\System32\imagx5.dll
[2010.06.09 11:20:33 | 000,507,904 | ---- | C] (Pegasus Software,LLC) -- C:\WINDOWS\System32\imagr5.dll
[2010.06.09 11:20:33 | 000,275,312 | ---- | C] (Pegasus Software, LLC) -- C:\WINDOWS\System32\ImagXpr5.dll
[2010.06.09 11:20:33 | 000,106,496 | ---- | C] (Pegasus Software) -- C:\WINDOWS\System32\TwnLib20.dll
[2010.06.09 11:20:33 | 000,035,328 | ---- | C] (Pegasus Imaging Corp.) -- C:\WINDOWS\System32\picn20.dll
[2010.06.09 11:20:32 | 000,155,648 | ---- | C] (Ahead Software Gmbh) -- C:\WINDOWS\System32\NeroCheck.exe
[2010.06.09 11:20:32 | 000,000,000 | ---D | C] -- C:\Programme\Ahead
[2010.06.09 00:18:49 | 328,324,136 | ---- | C] (Microsoft Corporation) -- C:\Programme\WindowsXP-KB936929-SP3-x86-DEU.exe
[2010.06.08 23:59:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Macromedia
[2010.06.08 19:23:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Avira
[2010.06.08 10:10:48 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2010.06.08 10:10:31 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.06.08 10:10:31 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.06.08 10:10:31 | 000,051,992 | ---- | C] (AVIRA GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.06.08 10:10:31 | 000,017,016 | ---- | C] (AVIRA GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.06.08 10:09:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
[2010.04.24 12:24:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Macrovision
[2010.04.09 16:54:50 | 000,000,000 | ---D | C] -- C:\Programme\TuneUp Utilities 2004
[2010.03.23 09:19:25 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Brother
[2010.03.19 12:38:37 | 000,015,040 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\winddx.sys
[2009.12.15 19:41:59 | 001,301,488 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\mtlstrm.sys
[2009.12.15 19:41:59 | 000,635,152 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\slntamr.sys
[2009.12.15 19:41:59 | 000,230,656 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\mtlmnt5.sys
[2009.12.15 19:41:59 | 000,180,664 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\ntmtlfax.sys
[2009.12.15 19:41:59 | 000,095,760 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\slnthal.sys
[2009.12.15 19:41:59 | 000,013,912 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\RecAgent.sys
[2009.12.15 19:41:59 | 000,013,312 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\slwdmsup.sys
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 90 Days ==========

[2010.06.20 14:13:57 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.06.20 14:13:41 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.06.20 14:13:37 | 000,308,400 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.06.20 14:12:19 | 003,121,152 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\ntuser.dat
[2010.06.20 14:12:19 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Mein~01\ntuser.ini
[2010.06.20 14:03:02 | 000,000,293 | ---- | M] () -- C:\WINDOWS\Brownie.ini
[2010.06.20 14:03:02 | 000,000,023 | ---- | M] () -- C:\WINDOWS\BRDIAG.INI
[2010.06.20 14:03:02 | 000,000,019 | ---- | M] () -- C:\WINDOWS\System32\bd2030.dat
[2010.06.20 14:03:02 | 000,000,011 | ---- | M] () -- C:\WINDOWS\BRVIDEO.INI
[2010.06.20 11:30:50 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\OTL.exe
[2010.06.19 18:54:33 | 000,014,560 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Eigene Dateien\cc_20100619_185342.reg
[2010.06.19 18:44:28 | 000,000,695 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.06.19 18:41:40 | 000,001,531 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\CCleaner.lnk
[2010.06.19 18:41:08 | 006,153,352 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\mbam146-setup.exe
[2010.06.19 16:36:58 | 126,850,486 | ---- | M] (Igor Pavlov) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\OTLPENet.exe
[2010.06.19 15:54:20 | 001,046,736 | ---- | M] (Driver Whiz ) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Driverwhiz.exe
[2010.06.19 13:54:56 | 008,776,240 | ---- | M] (SUPERAntiSpyware.com) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\SUPERAntiSpyware.exe
[2010.06.19 13:54:22 | 003,387,040 | ---- | M] (Piriform Ltd) -- C:\Dokumente und Einstellungen\Mein~01\Desktop\ccsetup232.exe
[2010.06.19 13:18:00 | 000,120,832 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\tweakui.exe
[2010.06.18 17:16:15 | 000,000,406 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2010.06.17 21:43:40 | 722,307,228 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Image.nrg
[2010.06.17 20:25:28 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.06.17 20:16:38 | 721,999,872 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\ADRIANE-KNOPPIX_V6.2.1CD-2010-01-31-DE.iso
[2010.06.16 18:18:21 | 000,137,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Dok1.doc
[2010.06.12 18:31:16 | 674,273,436 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Image_xpcd_de.nrg
[2010.06.12 17:52:33 | 001,243,884 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\ISO1_100611.nrb
[2010.06.10 18:25:27 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.06.10 10:38:49 | 000,372,224 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Systemeigenschaften_100609.doc
[2010.06.09 22:31:10 | 000,101,398 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Nebis_Kontoauszug_100609.pdf
[2010.06.09 11:23:11 | 000,000,747 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Nero Express.lnk
[2010.06.08 23:50:45 | 000,091,496 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\restoreFilesDataKeeper_02.pdf
[2010.06.08 23:47:04 | 000,086,049 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein_Admin.LN-NOTEBOOK01\Desktop\restoreFilesDataKeeper_01.pdf
[2010.06.08 23:16:11 | 000,729,988 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.06.08 23:16:11 | 000,320,094 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.06.08 23:16:11 | 000,314,508 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.06.08 23:16:11 | 000,049,174 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.06.08 23:16:11 | 000,040,836 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.06.08 16:36:57 | 000,000,432 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2010.06.08 10:24:47 | 000,376,130 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\TrojanerBoard_Anleitung.pdf
[2010.06.08 10:11:30 | 000,001,835 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Avira AntiVir Control Center.lnk
[2010.05.25 12:31:59 | 000,000,400 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2010.05.25 12:31:46 | 000,011,454 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Microsoft Access.TSK
[2010.05.15 12:11:29 | 000,011,504 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Tabulatorgetrennte Werte (DOS).TSK
[2010.05.15 12:10:31 | 000,008,025 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Microsoft Excel.TSK
[2010.05.12 15:32:48 | 000,025,088 | ---- | M] () -- C:\Dokumente und Einstellungen\Mein~01\Eigene Dateien\ToDo_ListDoku.doc
[2010.04.29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.24 15:29:09 | 000,000,156 | ---- | M] () -- C:\WINDOWS\matlab.ini
[2010.04.24 12:23:19 | 000,000,073 | ---- | M] () -- C:\WINDOWS\Upgrade.INI
[2010.04.09 16:55:04 | 000,000,826 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\TuneUp Utilities 2004.lnk
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.06.20 14:03:02 | 000,000,019 | ---- | C] () -- C:\WINDOWS\System32\bd2030.dat
[2010.06.19 18:53:47 | 000,014,560 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Eigene Dateien\cc_20100619_185342.reg
[2010.06.19 18:44:28 | 000,000,695 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.06.19 18:41:40 | 000,001,531 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\CCleaner.lnk
[2010.06.19 17:44:02 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2010.06.19 17:42:04 | 000,120,832 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\tweakui.exe
[2010.06.17 21:50:19 | 721,999,872 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\ADRIANE-KNOPPIX_V6.2.1CD-2010-01-31-DE.iso
[2010.06.17 21:40:39 | 722,307,228 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Image.nrg
[2010.06.12 18:06:32 | 674,273,436 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Image_xpcd_de.nrg
[2010.06.12 17:52:33 | 001,243,884 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\ISO1_100611.nrb
[2010.06.10 10:41:56 | 003,121,152 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\ntuser.dat
[2010.06.10 10:38:49 | 000,372,224 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Systemeigenschaften_100609.doc
[2010.06.09 22:31:10 | 000,101,398 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Nebis_Kontoauszug_100609.pdf
[2010.06.09 11:34:42 | 002,468,735 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\isobuster_all_lang.zip
[2010.06.09 11:23:11 | 000,000,747 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Nero Express.lnk
[2010.06.09 11:20:42 | 000,069,086 | ---- | C] () -- C:\WINDOWS\Unnero.cfg
[2010.06.08 23:50:45 | 000,091,496 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\restoreFilesDataKeeper_02.pdf
[2010.06.08 23:47:04 | 000,086,049 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\restoreFilesDataKeeper_01.pdf
[2010.06.08 10:24:47 | 000,376,130 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\TrojanerBoard_Anleitung.pdf
[2010.06.08 10:11:29 | 000,001,835 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Avira AntiVir Control Center.lnk
[2010.05.25 10:43:00 | 000,011,454 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Microsoft Access.TSK
[2010.05.15 12:11:29 | 000,011,504 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Tabulatorgetrennte Werte (DOS).TSK
[2010.05.15 12:06:57 | 000,008,025 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Microsoft Excel.TSK
[2010.05.12 15:25:26 | 000,025,088 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Eigene Dateien\ToDo_ListDoku.doc
[2010.05.08 16:18:39 | 000,137,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Mein~01\Desktop\Dok1.doc
[2010.05.07 15:25:11 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.04.24 12:23:19 | 000,000,073 | ---- | C] () -- C:\WINDOWS\Upgrade.INI
[2010.04.09 16:55:04 | 000,000,826 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\TuneUp Utilities 2004.lnk
[2010.03.19 12:38:37 | 000,528,384 | ---- | C] () -- C:\WINDOWS\System32\SLLights.dll
[2010.03.19 12:38:37 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\amr_cpl.dll
[2010.03.19 12:38:37 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\SLMOHServ.dll
[2010.02.02 17:11:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\bgspmnt.dll
[2009.12.17 12:46:41 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009.12.17 12:23:17 | 000,000,023 | ---- | C] () -- C:\WINDOWS\BRDIAG.INI
[2009.12.17 12:23:17 | 000,000,011 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI
[2009.12.17 12:23:17 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini
[2009.12.17 12:21:41 | 000,000,293 | ---- | C] () -- C:\WINDOWS\Brownie.ini
[2009.12.16 01:08:00 | 000,000,011 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.ini
[2009.12.15 19:41:59 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\slextspk.dll
[2009.12.15 19:41:59 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\SLGen.dll
[2009.12.15 19:41:59 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\coinst.dll
[2009.11.22 11:22:37 | 000,003,460 | ---- | C] () -- C:\WINDOWS\LITERAT.INI
[2009.11.18 18:42:28 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\UnAudioNT.dll
[2009.11.18 18:35:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Amibcp.INI
[2009.11.18 18:26:47 | 000,041,324 | ---- | C] () -- C:\WINDOWS\System32\winio.sys
[2009.11.18 18:26:03 | 000,000,156 | ---- | C] () -- C:\WINDOWS\matlab.ini
[2009.11.18 17:36:58 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.11.18 15:32:25 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2009.11.18 15:31:27 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2003.04.17 13:35:00 | 000,651,264 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll
[2003.04.17 13:35:00 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll
[2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2000.10.16 13:01:38 | 000,225,280 | ---- | C] () -- C:\WINDOWS\System32\Scint100.dll
[2000.10.16 13:01:38 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\sccres100.dll

========== LOP Check ==========

[2008.01.19 22:28:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
[2006.01.02 15:41:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL SpeedManager
[2006.01.02 14:18:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2007.05.17 16:45:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2005.09.15 10:47:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2009.11.22 11:13:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software
[2005.11.08 15:37:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\T-DSL SpeedManager
[2008.05.07 12:56:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mei~\Anwendungsdaten\Bullzip
[2009.07.01 11:00:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mei~\Anwendungsdaten\Flowmaster Limited
[2008.02.14 11:39:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mei~\Anwendungsdaten\TuneUp Software
[2009.12.21 15:52:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\Bullzip
[2009.11.22 11:10:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mein~01\Anwendungsdaten\TuneUp Software
[2010.06.18 17:16:15 | 000,000,406 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job

========== Purity Check ==========



========== Custom Scans ==========


< %SYSTEMDRIVE%\*.* >
[2005.09.14 23:52:56 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2005.10.05 11:19:44 | 007,897,088 | ---- | M] () -- C:\avwinsfx.exe
[2004.07.09 10:13:46 | 000,703,080 | ---- | M] () -- C:\BDA.cab
[2007.11.10 16:24:31 | 000,000,362 | ---- | M] () -- C:\BDA.cab
[2004.07.19 23:58:36 | 001,156,363 | ---- | M] () -- C:\BDANT.cab
[2007.11.10 16:24:38 | 000,000,374 | ---- | M] () -- C:\BDANT.cab
[2004.07.19 23:53:26 | 000,976,020 | ---- | M] () -- C:\BDAXP.cab
[2007.11.10 16:24:46 | 000,000,374 | ---- | M] () -- C:\BDAXP.cab
[2009.11.18 16:04:59 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2004.08.04 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2005.09.14 23:52:56 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2004.07.09 10:13:48 | 015,493,481 | ---- | M] () -- C:\DirectX.cab
[2007.11.10 16:24:48 | 000,000,386 | ---- | M] () -- C:\DirectX.cab
[2004.07.09 04:03:10 | 000,062,976 | ---- | M] (Microsoft Corporation) -- C:\DSETUP.dll
[2004.07.09 05:08:34 | 002,242,560 | ---- | M] (Microsoft Corporation) -- C:\dsetup32.dll
[2004.07.09 15:17:16 | 013,265,040 | ---- | M] () -- C:\dxnt.cab
[2007.11.10 16:24:49 | 000,000,369 | ---- | M] () -- C:\dxnt.cab
[2004.07.09 05:08:36 | 000,472,576 | ---- | M] (Microsoft Corporation) -- C:\dxsetup.exe
[2007.11.10 16:24:30 | 000,000,799 | ---- | M] () -- C:\EUROTOOL.XLA.LNK
[2007.11.10 16:26:15 | 000,019,363 | ---- | M] () -- C:\Excel11.xlb
[2005.09.14 23:52:56 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2007.11.10 16:24:51 | 000,000,279 | ---- | M] () -- C:\Lokaler Datenträger (C).LNK
[2007.11.10 16:24:30 | 000,000,684 | ---- | M] () -- C:\Makro.LNK
[2004.07.22 11:51:34 | 003,432,656 | ---- | M] () -- C:\ManagedDX.CAB
[2007.11.10 16:24:50 | 000,000,398 | ---- | M] () -- C:\ManagedDX.CAB
[2005.09.14 23:52:56 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2004.08.04 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2004.08.04 14:00:00 | 000,251,184 | RHS- | M] () -- C:\ntldr
[2010.06.20 14:13:36 | 805,306,368 | -HS- | M] () -- C:\pagefile.sys
[2006.12.15 23:10:27 | 000,000,097 | ---- | M] () -- C:\RTSPNetSrc.log
[2007.11.10 16:24:51 | 000,000,403 | ---- | M] () -- C:\RTSPNetSrc.log
[2006.01.02 14:39:45 | 000,000,309 | ---- | M] () -- C:\ToCaclLg.txt
[2007.11.10 16:24:51 | 000,000,393 | ---- | M] () -- C:\ToCaclLg.txt
[2005.12.12 14:00:52 | 000,000,187 | ---- | M] () -- C:\touchpad.log
[2007.11.10 16:24:51 | 000,000,393 | ---- | M] () -- C:\touchpad.log

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< %systemroot%\Tasks\*.job /lockedfiles >

< %systemroot%\System32\config\*.sav >
[2009.11.18 16:49:09 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2009.11.18 16:49:08 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2009.11.18 16:49:08 | 000,446,464 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav

< %systemroot%\system32\drivers\*.sys /90 >
[2010.04.29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\system32\drivers\mbam.sys
[2010.04.29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys

< %systemroot%\system32\user32.dll /md5 >
[2004.08.04 14:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\system32\user32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< %systemroot%\system32\ws2_32.dll /md5 >
[2004.08.04 14:00:00 | 000,082,944 | ---- | M] (Microsoft Corporation) MD5=D569240A22421D5F670BB6FB6DD522B5 -- C:\WINDOWS\system32\ws2_32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs >

========== Alternate Data Streams ==========

@Alternate Data Stream - 113 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
< End of report >

Macht das netbook probleme ?

ja, zeitweise macht es Probleme (bin bislang davon ausgegangen, dass es Hardwareprobleme sind, Nichterkennen von Laufwerken, "Wackelkontakte",..) und gestern eben der Absturz, wenn die mobile FP angeschlossen wurde.

ich seh da jetzt nichts was mit Malware zu tun hat. Ich bin kein Techniker

Prima und danke, das ist ne gute Nachricht!
Das andere muss ich irgendwie handeln. Nun häng ich mich mal weiter an die andere Baustelle. :-) Ich melde mich.
Gruß,
Ellen

Hallo,
ich bin wieder da, noch immer mit ein paar ungelösten Problemen. Inzwischen gabs ein paar andere "Baustellen".
hier sind die txt-Dateien, die die Scans mit OTLPE ergeben haben, und noch ältere log-files vom ramponierten PC (in der 2. Antwort). Es sind mehrere OTL-Dateien, da ich zunächst die vorgegebenen Einstellungen genommen habe, die aber u.a. kein "Extras.txt"-File ergaben, und das Alter der Dateien auf 30 Tage begrenzt haben. Ich habe es zum SChluss hoch gesetzt auf 360d und habe die Option "Extra Registry" aktiviert, die auf "None" gesetzt war. Da ergab auch den Extras.txt-File.
Ach ja, im Vorfeld habe ich die Partitionen des Rechners weitestgehend leer geräumt von Daten, nur die, die mit dem Simu-Programm zusammen hängen, das ich mir ja erhalten will, habe ich belassen sowie den Mozilla-Ordner.
Wenn mir dabei jemand helfen kann, tausend Dank.
P.S.:
ich muss die gezippte txt-files als Anhänge laden, sie sind zu lang und einzlen zu groß, ich hoffe, dass das funktioniert. Ich arbeite gerade an einem "sauberen" Rechner, sollte also nichts passieren.

die älteren Logfiles mit Malwarebytes und Dateiüberprüfung ebenfalls als Anhang.

HAllo Daniel,
in den OTl-Dateien habe ich jetzt öfter das von dir erwähnte Benutzerkonto "HelpAssistant.ATHLON64.000" gesehen, ist mir allerdings bisher nicht bekannt.
Was kann ich damit ggf. machen? Wie komme ich überhaupt an dieses Konto oder kann mich anmelden?
Ich habe wegen der Dateilänge nochmal einen Scan mit OTL mit "minimal Output" laufen lassen, die Datei war aber nicht wirklich kleiner oder kürzer.
Freu mich auf ein Feedback, Gruß, Ellen