Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 11

Thema: Trojanerbefall????

  1. 02.12.2005, 17:48 #1
    Richris
    Richris ist offline
    Einsteiger
    Registriert seit
    02.12.2005
    Beiträge
    6

    Trojanerbefall????

    Hallo zusammen,

    kuerzlich habe ich auf meinen PC ueber ANTIVIR folgende Wuermer oder Trojaner gefunden:

    TR/Rootkit.L
    blast.pp.ru
    MSmedia.exe

    Hab versucht mit diversen tools die zu loeschen, bin mir nun nicht mehr sicher ob ich sich komplett weg hab. ANTIVIR und sonstige Tools finden die jetzt nicht mehr!

    Ich poste mal das Logile, und hab eine grosse Bitte mir die Frage zu beantworten, ob der PC noch infiziert ist oder nicht:

    [CODE]
    Code:
    Logfile of HijackThis v1.99.1
Scan saved at 18:23:44, on 02.12.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 404PC\Capictrl.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX01.984\HijackThis.exe
C:\WINDOWS\System32\rasautou.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.preispiraten.de/cgi-bin/e...://www.ebay.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Preispiraten 2.1.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e...://www.ebay.de (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1127331808765
O17 - HKLM\System\CCS\Services\Tcpip\..\{A561820A-9C59-4D4D-A8E8-F89525F737C3}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{A561820A-9C59-4D4D-A8E8-F89525F737C3}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    [CODE]

    Vielen Vielen Dank schonmal im Voraus!

    Gruss Chris
    Geändert von Ruby (02.12.2005 um 19:15 Uhr) Grund: vb-Code
  2. 02.12.2005, 17:55 #2
    NatureBoy
    NatureBoy ist offline
    Vielschreiber Avatar von NatureBoy
    Registriert seit
    25.10.2005
    Ort
    Schweiz
    Beiträge
    417

    AW: Trojanerbefall????

    Die Logfiles sollten, hier bei hijackthis, im vb-code [code] gepostet werden, da sie sonst nicht bearbeitet werden.
    Bitte editiere deinen Beitrag, durch drücken des Buttons und füge vor und nach dem Logfile das wort "code" genau wie hier in diesem bild dargestellt ein, drücke dann "Änderung Speichern"
    "Wer grundlegende Freiheiten aufgibt, um vorübergehend ein wenig Sicherheit zu gewinnen, verdient weder Freiheit noch Sicherheit." -Benjamin Franklin

    "Privatsphäre ist wie Luft. Man vermisst diese erst wenn man sie nicht mehr hat!"
  3. 02.12.2005, 18:18 #3
    Richris
    Richris ist offline
    Einsteiger
    Registriert seit
    02.12.2005
    Beiträge
    6

    Bitte mal Logfile angucken wegen Trojanerbefall!

    Hallo zusammen,

    kuerzlich habe ich auf meinen PC ueber ANTIVIR folgende Wuermer oder Trojaner gefunden:

    TR/Rootkit.L
    blast.pp.ru
    MSmedia.exe

    Hab versucht mit diversen tools die zu loeschen, bin mir nun nicht mehr sicher ob ich sich komplett weg hab. ANTIVIR und sonstige Tools finden die jetzt nicht mehr!

    Ich poste mal das Logile, und hab eine grosse Bitte mir die Frage zu beantworten, ob der PC noch infiziert ist oder nicht:


    Code:
    Logfile of HijackThis v1.99.1
Scan saved at 18:23:44, on 02.12.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 404PC\Capictrl.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX01.984\HijackThis.exe
C:\WINDOWS\System32\rasautou.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.preispiraten.de/cgi-bin/e/tracker_start_ie.pl?http://www.ebay.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Preispiraten 2.1.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e/tracker_short.pl?http://www.ebay.de (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127331808765
O17 - HKLM\System\CCS\Services\Tcpip\..\{A561820A-9C59-4D4D-A8E8-F89525F737C3}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{A561820A-9C59-4D4D-A8E8-F89525F737C3}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
  4. 02.12.2005, 18:21 #4
    NatureBoy
    NatureBoy ist offline
    Vielschreiber Avatar von NatureBoy
    Registriert seit
    25.10.2005
    Ort
    Schweiz
    Beiträge
    417

    AW: Trojanerbefall????

    Hallo, bitte schau das Bild GANZ GENAU AN... dann wirst du sehen wo der Fehler liegt ;-)
    "Wer grundlegende Freiheiten aufgibt, um vorübergehend ein wenig Sicherheit zu gewinnen, verdient weder Freiheit noch Sicherheit." -Benjamin Franklin

    "Privatsphäre ist wie Luft. Man vermisst diese erst wenn man sie nicht mehr hat!"
  5. 02.12.2005, 19:21 #5
    Ruby
    Ruby ist offline
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.041

    AW: Trojanerbefall????

    @ Richris

    lade bitte rootkitrevealer und f-secure blacklight runter,
    gib jedes Programm in einen eigenen Ordner C:\Programme\Rootkitrevealer und C:\Programme\Blacklight.
    Scanne deinen Rechner mit diesen Programmen, ohne dass du irgendetwas am Rechner machst.
    Speichere die Logfiles.
    Poste sie bitte.

    (Kostenloses Ziptool: SIMPLYZIP)
    (Wie man einen neuen Ordner anlegen kann, kannst du diesem Windows Tutorial entnehmen.)

    Lade diese Programme ebenfalls runter und gib sie in eigene Ordner unter C:\Programme:

    Process Explorer
    Autostart Viewer
    und eine Free- oder Trialversion des ProcessGuard

    Lass den Autostart Viewer und den ProcessGuard im Autostart mitlaufen.
    Speichere je ein Protokoll und poste es.
  6. 02.12.2005, 20:33 #6
    Richris
    Richris ist offline
    Einsteiger
    Registriert seit
    02.12.2005
    Beiträge
    6
    RootKitRevealer:

    Code:
    HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40	16.10.2005 08:51	0 bytes	Hidden from Windows API.

    Blacklight:
    Code:
    12/02/05 21:26:31 [Info]: BlackLight Engine 1.0.25 initialized
12/02/05 21:26:31 [Info]: OS: 5.1 build 2600 ()
12/02/05 21:26:31 [Note]: 4019 4
12/02/05 21:26:31 [Note]: 4005 0
12/02/05 21:26:37 [Note]: 4006 0
12/02/05 21:26:37 [Note]: 4011 1116
12/02/05 21:26:38 [Note]: FSRAW library version 1.7.1013
12/02/05 21:27:24 [Note]: 4007 0

    AS Viewer:
    Code:
    DiamondCS Autostart Viewer (www.diamondcs.com.au) - Report for Christian@RICHRIS-RSLZOWJ, 12-02-2005
c:\autoexec.bat
   PATH=%PATH%;C:\PROGRA~1\GEMEIN~1\MUVEET~1\030625
c:\windows\system32\autoexec.nt
   C:\WINDOWS\system32\mscdexnt.exe
   C:\WINDOWS\system32\redir.exe
   C:\WINDOWS\system32\dosx.exe
c:\windows\system32\config.nt
   REM	Die EMM-Größe wird in der PIF-Datei (entweder die Datei _DEFAULT.PIF
   C:\WINDOWS\system32\himem.sys
c:\windows\system.ini [drivers]
   timer=timer.drv
c:\windows\system.ini [boot]\shell
   C:\WINDOWS\Explorer.exe
c:\windows\system.ini [boot]\scrnsave.exe
   C:\WINDOWS\System32\logon.scr
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
   C:\WINDOWS\Explorer.exe
HKCU\Control Panel\Desktop\scrnsave.exe
   C:\WINDOWS\System32\logon.scr
HKCR\vbsfile\shell\open\command\
   C:\WINDOWS\System32\WScript.exe "%1" %*
HKCR\vbefile\shell\open\command\
   C:\WINDOWS\System32\WScript.exe "%1" %*
HKCR\jsfile\shell\open\command\
   C:\WINDOWS\System32\WScript.exe "%1" %*
HKCR\jsefile\shell\open\command\
   C:\WINDOWS\System32\WScript.exe "%1" %*
HKCR\wshfile\shell\open\command\
   C:\WINDOWS\System32\WScript.exe "%1" %*
HKCR\wsffile\shell\open\command\
   C:\WINDOWS\System32\WScript.exe "%1" %*
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Trojancheck 6 Guard
   C:\Programme\Trojancheck 6\tcguard.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvCplDaemon
   RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AVGCtrl
   C:\Programme\AVPersonal\AVGNT.EXE /min
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\!1_pgaccount
   C:\Programme\ProcessGuard\pgaccount.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\!1_ProcessGuard_Startup
   C:\Programme\ProcessGuard\procguard.exe
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\CTFMON.EXE
   C:\WINDOWS\System32\CTFMON.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
   C:\WINDOWS\system32\SHELL32.dll
   C:\WINDOWS\system32\SHELL32.dll
   C:\WINDOWS\System32\webcheck.dll
   C:\WINDOWS\System32\stobject.dll
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CAPIControl.lnk
   C:\Programme\Telekom\Eumex 404PC\Capictrl.exe
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
   autocheck autochk *
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
   C:\WINDOWS\system32\userinit.exe
HKLM\System\CurrentControlSet\Control\WOW\cmdline
   C:\WINDOWS\system32\ntvdm.exe
HKLM\System\CurrentControlSet\Control\WOW\wowcmdline
   C:\WINDOWS\system32\ntvdm.exe -a %SystemRoot%\system32\krnl386
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\
   C:\WINDOWS\system32\mswsock.dll
   C:\WINDOWS\system32\rsvpsp.dll
    Process Guard:
    Code:
    ---Process Guard Log Started---
Fri 02 - 20:57:01 [EXECUTION] "c:\windows\system32\svchost.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\system32\services.exe" [540]
                  [EXECUTION] Commandline - [ c:\windows\system32\svchost.exe -k imgsvc ]
Fri 02 - 20:57:02 [EXECUTION] "c:\windows\system32\wdfmgr.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\system32\services.exe" [540]
                  [EXECUTION] Commandline - [ c:\windows\system32\wdfmgr.exe ]
Fri 02 - 20:57:03 [EXECUTION] "c:\windows\system32\zonelabs\vsmon.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\system32\services.exe" [540]
                  [EXECUTION] Commandline - [ c:\windows\system32\zonelabs\vsmon.exe -service ]
Fri 02 - 20:57:07 [EXECUTION] "c:\programme\trojancheck 6\tcguard.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ "c:\programme\trojancheck 6\tcguard.exe"  ]
Fri 02 - 20:57:07 [EXECUTION] "c:\windows\system32\rundll32.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ "c:\windows\system32\rundll32.exe" c:\windows\system32\nvcpl.dll,nvstartup ]
Fri 02 - 20:57:07 [EXECUTION] "c:\programme\avpersonal\avgnt.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ "c:\programme\avpersonal\avgnt.exe" /min ]
Fri 02 - 20:57:07 [EXECUTION] "c:\programme\processguard\pgaccount.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ "c:\programme\processguard\pgaccount.exe"  ]
Fri 02 - 20:57:08 [EXECUTION] "c:\programme\processguard\procguard.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ "c:\programme\processguard\procguard.exe" -minimize ]
Fri 02 - 20:57:08 [EXECUTION] "c:\programme\telekom\eumex 404pc\capictrl.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ "c:\programme\telekom\eumex 404pc\capictrl.exe"  ]
Fri 02 - 20:57:45 [EXECUTION] "c:\windows\system32\rundll32.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ "c:\windows\system32\rundll32.exe" shell32.dll,control_rundll "c:\windows\system32\appwiz.cpl",software ]
Fri 02 - 20:58:06 [EXECUTION] "c:\programme\regcleaner\regcleanr.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ "c:\programme\regcleaner\regcleanr.exe"  ]
Fri 02 - 20:59:12 [EXECUTION] "c:\programme\rootkitrevealer\rootkitrevealer.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ "c:\programme\rootkitrevealer\rootkitrevealer.exe"  ]
Fri 02 - 20:59:12 [EXECUTION] "c:\dokume~1\christ~1\lokale~1\temp\rimdg.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\system32\services.exe" [540]
                  [EXECUTION] Commandline - [ c:\dokume~1\christ~1\lokale~1\temp\rimdg.exe ]
Fri 02 - 21:00:01 [EXECUTION] "c:\windows\system32\cmd.exe" was allowed to run
                  [EXECUTION] Started by "c:\dokume~1\christ~1\lokale~1\temp\rimdg.exe" [1632]
                  [EXECUTION] Commandline - [ cmd /c chcp 65001 && set dircmd= && "cmd /c dir /4 /a /s c:\ > c:\windows\system32\averc" ]
Fri 02 - 21:00:02 [EXECUTION] "c:\windows\system32\chcp.com" was allowed to run
                  [EXECUTION] Started by "c:\windows\system32\cmd.exe" [1672]
                  [EXECUTION] Commandline - [ chcp 65001  ]
Fri 02 - 21:00:02 [EXECUTION] "c:\windows\system32\cmd.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\system32\cmd.exe" [1672]
                  [EXECUTION] Commandline - [ "cmd /c dir /4 /a /s c:\ > c:\windows\system32\averc" ]
Fri 02 - 21:07:19 [EXECUTION] "c:\programme\avpersonal\guardgui.exe" was allowed to run
                  [EXECUTION] Started by "c:\programme\avpersonal\avguard.exe" [1360]
                  [EXECUTION] Commandline - [ c:\programme\avpersonal\guardgui.exe rtvirus "
%s

%s" "c:\system volume information\_restore{d8a47826-d784-45a4-8ed9-0fd84cf728e8}\rp57\a0039237.exe" "ist das trojanische pferd tr/dldr.sma.bfy.5.a" 0 sound 0 0  ]
Fri 02 - 21:08:16 [EXECUTION] "c:\programme\avpersonal\guardgui.exe" was allowed to run
                  [EXECUTION] Started by "c:\programme\avpersonal\avguard.exe" [1360]
                  [EXECUTION] Commandline - [ c:\programme\avpersonal\guardgui.exe rtvirus "
%s

%s" "c:\system volume information\_restore{d8a47826-d784-45a4-8ed9-0fd84cf728e8}\rp57\a0039240.exe" "ist das trojanische pferd tr/drop.age.abo.1.b" 0 sound 0 0  ]
Fri 02 - 21:08:22 [EXECUTION] "c:\programme\avpersonal\guardgui.exe" was allowed to run
                  [EXECUTION] Started by "c:\programme\avpersonal\avguard.exe" [1360]
                  [EXECUTION] Commandline - [ c:\programme\avpersonal\guardgui.exe rtvirus "
%s

%s" "c:\system volume information\_restore{d8a47826-d784-45a4-8ed9-0fd84cf728e8}\rp57\a0039241.exe" "enthält signatur des droppers dr/small.bws" 0 sound 0 0  ]
Fri 02 - 21:08:26 [EXECUTION] "c:\programme\avpersonal\guardgui.exe" was allowed to run
                  [EXECUTION] Started by "c:\programme\avpersonal\avguard.exe" [1360]
                  [EXECUTION] Commandline - [ c:\programme\avpersonal\guardgui.exe rtvirus "
%s

%s" "c:\system volume information\_restore{d8a47826-d784-45a4-8ed9-0fd84cf728e8}\rp58\a0039481.exe" "ist das trojanische pferd tr/pakes.a.231" 0 sound 0 0  ]
Fri 02 - 21:08:39 [EXECUTION] "c:\programme\avpersonal\guardgui.exe" was allowed to run
                  [EXECUTION] Started by "c:\programme\avpersonal\avguard.exe" [1360]
                  [EXECUTION] Commandline - [ c:\programme\avpersonal\guardgui.exe rtvirus "
%s

%s" "c:\system volume information\_restore{d8a47826-d784-45a4-8ed9-0fd84cf728e8}\rp62\a0041634.sys" "ist das trojanische pferd tr/rootkit.l" 0 sound 0 0  ]
Fri 02 - 21:08:45 [EXECUTION] "c:\programme\avpersonal\guardgui.exe" was allowed to run
                  [EXECUTION] Started by "c:\programme\avpersonal\avguard.exe" [1360]
                  [EXECUTION] Commandline - [ c:\programme\avpersonal\guardgui.exe rtvirus "
%s

%s" "c:\system volume information\_restore{d8a47826-d784-45a4-8ed9-0fd84cf728e8}\rp62\a0041642.exe" "enthält signatur des wurmes worm/agobot.60928.3" 0 sound 0 0  ]
Fri 02 - 21:08:48 [EXECUTION] "c:\programme\avpersonal\guardgui.exe" was allowed to run
                  [EXECUTION] Started by "c:\programme\avpersonal\avguard.exe" [1360]
                  [EXECUTION] Commandline - [ c:\programme\avpersonal\guardgui.exe rtvirus "
%s

%s" "c:\system volume information\_restore{d8a47826-d784-45a4-8ed9-0fd84cf728e8}\rp62\a0041673.sys" "ist das trojanische pferd tr/rootkit.l" 0 sound 0 0  ]
Fri 02 - 21:08:56 [EXECUTION] "c:\programme\zone labs\zonealarm\zlclient.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ "c:\programme\zone labs\zonealarm\zlclient.exe"  ]
Fri 02 - 21:14:16 [EXECUTION] "c:\windows\system32\cmd.exe" was allowed to run
                  [EXECUTION] Started by "c:\dokume~1\christ~1\lokale~1\temp\rimdg.exe" [1632]
                  [EXECUTION] Commandline - [ cmd /c chcp 65001 && set dircmd= && "cmd /c dir /4 /a /s d:\ > c:\windows\system32\zgmsfjx" ]
Fri 02 - 21:14:17 [EXECUTION] "c:\windows\system32\chcp.com" was allowed to run
                  [EXECUTION] Started by "c:\windows\system32\cmd.exe" [752]
                  [EXECUTION] Commandline - [ chcp 65001  ]
Fri 02 - 21:14:17 [EXECUTION] "c:\windows\system32\cmd.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\system32\cmd.exe" [752]
                  [EXECUTION] Commandline - [ "cmd /c dir /4 /a /s d:\ > c:\windows\system32\zgmsfjx" ]
Fri 02 - 21:20:54 [EXECUTION] "c:\windows\system32\cmd.exe" was allowed to run
                  [EXECUTION] Started by "c:\dokume~1\christ~1\lokale~1\temp\rimdg.exe" [1632]
                  [EXECUTION] Commandline - [ cmd /c chcp 65001 && set dircmd= && "cmd /c dir /4 /a /s e:\ > c:\windows\system32\bqtblbm" ]
Fri 02 - 21:20:55 [EXECUTION] "c:\windows\system32\chcp.com" was allowed to run
                  [EXECUTION] Started by "c:\windows\system32\cmd.exe" [1076]
                  [EXECUTION] Commandline - [ chcp 65001  ]
Fri 02 - 21:20:55 [EXECUTION] "c:\windows\system32\cmd.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\system32\cmd.exe" [1076]
                  [EXECUTION] Commandline - [ "cmd /c dir /4 /a /s e:\ > c:\windows\system32\bqtblbm" ]
Fri 02 - 21:24:27 [EXECUTION] "c:\windows\system32\cmd.exe" was allowed to run
                  [EXECUTION] Started by "c:\dokume~1\christ~1\lokale~1\temp\rimdg.exe" [1632]
                  [EXECUTION] Commandline - [ cmd /c chcp 65001 && set dircmd= && "cmd /c dir /4 /a /s f:\ > c:\windows\system32\ciqbyl" ]
Fri 02 - 21:24:27 [EXECUTION] "c:\windows\system32\chcp.com" was allowed to run
                  [EXECUTION] Started by "c:\windows\system32\cmd.exe" [824]
                  [EXECUTION] Commandline - [ chcp 65001  ]
Fri 02 - 21:24:27 [EXECUTION] "c:\windows\system32\cmd.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\system32\cmd.exe" [824]
                  [EXECUTION] Commandline - [ "cmd /c dir /4 /a /s f:\ > c:\windows\system32\ciqbyl" ]
Fri 02 - 21:25:49 [EXECUTION] "c:\windows\system32\notepad.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ c:\windows\system32\notepad.exe c:\rootkitreveal.txt ]
Fri 02 - 21:26:25 [EXECUTION] "c:\programme\blacklight\blbeta.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ "c:\programme\blacklight\blbeta.exe"  ]
Fri 02 - 21:26:26 [EXECUTION] "c:\programme\blacklight\blbeta.exe" was allowed to run
                  [EXECUTION] Started by "Unknown Process" [1856]
                  [EXECUTION] Commandline - [ "c:\programme\blacklight\blbeta.exe" /q ]
Fri 02 - 21:27:27 [EXECUTION] "c:\windows\system32\notepad.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ c:\windows\system32\notepad.exe c:\programme\blacklight\fsbl-20051202202631.log ]
Fri 02 - 21:27:53 [EXECUTION] "c:\programme\process explorer\procexp.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ "c:\programme\process explorer\procexp.exe"  ]
Fri 02 - 21:28:51 [EXECUTION] "c:\windows\system32\notepad.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ c:\windows\system32\notepad.exe c:\dokumente und einstellungen\christian\desktop\procexp.txt ]
Fri 02 - 21:29:06 [EXECUTION] "c:\programme\autostart viewer\asviewer.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ "c:\programme\autostart viewer\asviewer.exe"  ]
Fri 02 - 21:29:21 [EXECUTION] "c:\windows\system32\notepad.exe" was allowed to run
                  [EXECUTION] Started by "c:\programme\autostart viewer\asviewer.exe" [464]
                  [EXECUTION] Commandline - [ notepad.exe "c:\programme\autostart viewer\asviewer.txt" ]
Fri 02 - 21:29:56 [EXECUTION] "c:\programme\processguard\procguard.exe" was allowed to run
                  [EXECUTION] Started by "c:\windows\explorer.exe" [1116]
                  [EXECUTION] Commandline - [ "c:\programme\processguard\procguard.exe"  ]

    Process Explorer:
    Code:
    Process	PID	CPU	Description	Company Name
System Idle Process	0	81.43		
 Interrupts	n/a		Hardware Interrupts	
 DPCs	n/a		Deferred Procedure Calls	
 System	4	1.43		
  smss.exe	404		Windows NT Session Manager	Microsoft Corporation
   csrss.exe	472		Client Server Runtime Process	Microsoft Corporation
   winlogon.exe	496		Windows NT Logon Application	Microsoft Corporation
    services.exe	540	1.43	Anwendung für Dienste und Controller	Microsoft Corporation
     svchost.exe	728		Generic Host Process for Win32 Services	Microsoft Corporation
     svchost.exe	772		Generic Host Process for Win32 Services	Microsoft Corporation
     InCDsrv.exe	796		incdsrv	Ahead Software AG
     svchost.exe	1040		Generic Host Process for Win32 Services	Microsoft Corporation
     svchost.exe	1124		Generic Host Process for Win32 Services	Microsoft Corporation
     LEXBCES.EXE	1164		LexBce Service	Lexmark International, Inc.
      LEXPPS.EXE	1196		LEXPPS.EXE	Lexmark International, Inc.
     spoolsv.exe	1204		Spooler SubSystem App	Microsoft Corporation
     AVGUARD.EXE	1360	5.71	Antivirus Service for Windows XP/2000/NT	H+BEDV Datentechnik GmbH
     AVWUPSRV.EXE	1376		AntiVir Software Update Service for Windows	H+BEDV Datentechnik GmbH, Germany
     DCSUserProt.exe	1432		DiamondCS ProcessGuard Service	DiamondCS
     nvsvc32.exe	1496		NVIDIA Driver Helper Service, Version 66.93	NVIDIA Corporation
     svchost.exe	1548		Generic Host Process for Win32 Services	Microsoft Corporation
     wdfmgr.exe	1584		Windows User Mode Driver Manager	Microsoft Corporation
     vsmon.exe	1628		TrueVector Service	Zone Labs, LLC
    lsass.exe	552		LSA Shell (Export Version)	Microsoft Corporation
explorer.exe	1116		Windows Explorer	Microsoft Corporation
 AVGNT.EXE	1748		AntiVir Guard/XP Control Program	H+BEDV Datentechnik GmbH
 pgaccount.exe	1756		pgaccount	DiamondCS
 procguard.exe	1764		GUI Aspect of ProcessGuard	DiamondCS
 Capictrl.exe	1772		CAPIControl	DeTeWe AG & Co.
 zlclient.exe	340		Zone Labs Client	Zone Labs, LLC
 procexp.exe	848	10.00	Sysinternals Process Explorer	Sysinternals

Process: Procexp Pid: -2
    Type Name

    Hallo Ruby,

    also ich hab die Logfiles wie von dir beschrieben gepostet, vielleicht kannst du ja mal ne blicke bitte drauf werfen.

    Gruss

    Chris
    Geändert von Speedy (03.12.2005 um 17:29 Uhr) Grund: doppelpostinge des users
  7. 04.12.2005, 00:25 #7
    Ruby
    Ruby ist offline
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.041

    AW: Trojanerbefall????

    Hallo Richris

    sorry für die Verspätung meiner Antwort. Auch ich bin nicht immer an Board.

    Lade die datfindbat runter, führe sie nach Anleitung aus und poste den Inhalt der erstellten Logfiles (es werden 4 Logfiles, wobei von c:\windows\system32 nur die letzten 30 Tage gepostet werden sollten)
  8. 04.12.2005, 08:52 #8
    Richris
    Richris ist offline
    Einsteiger
    Registriert seit
    02.12.2005
    Beiträge
    6

    AW: Trojanerbefall????

    Hallo Ruby,

    hier die 4 Logfiles und jetzt schon mal vielen Dank fuer deinen Bemuehungen.

    Volume in Laufwerk C: hat keine Bezeichnung.
    Volumeseriennummer: 7848-33BE

    Verzeichnis von C:\WINDOWS\system32

    04.12.2005 09:43 31.324 pghash.dat
    04.12.2005 09:39 35.873 vsconfig.xml
    04.12.2005 09:39 73.040 pguard.dat
    04.12.2005 09:39 17.145 nvapps.xml
    28.11.2005 19:41 2.184 wpa.dbl
    23.11.2005 11:22 4.212 zllictbl.dat
    23.11.2005 11:22 125.560 syshost.exe
    23.11.2005 11:21 79 o
    23.11.2005 11:16 73 i
    21.11.2005 14:18 311.604 perfh009.dat
    21.11.2005 14:18 39.992 perfc009.dat
    21.11.2005 14:18 48.156 perfc007.dat
    21.11.2005 14:18 316.594 perfh007.dat
    15.11.2005 00:51 71.440 zlcommdb.dll
    15.11.2005 00:51 79.624 zlcomm.dll
    15.11.2005 00:51 100.104 vsxml.dll
    15.11.2005 00:51 382.728 vsutil.dll
    15.11.2005 00:51 71.440 vsregexp.dll
    15.11.2005 00:50 227.088 vspubapi.dll
    15.11.2005 00:50 104.208 vsmonapi.dll
    15.11.2005 00:50 141.064 vsinit.dll
    15.11.2005 00:50 372.816 vsdatant.sys
    15.11.2005 00:50 83.720 vsdata.dll
    15.11.2005 00:34 54.960 vsutil_loc0407.dll
    10.11.2005 21:17 2.368.864 MRT.exe
    30.10.2005 08:22 723.744 PerfStringBackup.INI
    29.10.2005 17:31 5.618 jupdate-1.5.0_05-b05.log
    04.10.2005 19:42 9.394 KGyGaAvL.sys
    30.09.2005 10:03 9.619 QuickTime.qtp
    30.09.2005 10:03 1.398 qtplugin.log
    21.09.2005 12:21 310.784 FNTCACHE.DAT
    20.09.2005 20:48 2.957 jupdate-1.5.0_01-b08.log
    20.09.2005 20:43 16.832 amcompat.tlb
    20.09.2005 20:43 23.392 nscompat.tlb
    19.09.2005 12:58 0 h323log.txt
    19.09.2005 12:15 25.065 wmpscheme.xml
    19.09.2005 12:09 261 $winnt$.inf
    19.09.2005 12:06 2.951 CONFIG.NT
    19.09.2005 12:05 488 WindowsLogon.manifest
    19.09.2005 12:05 488 logonui.exe.manifest
    19.09.2005 12:05 749 ncpa.cpl.manifest
    19.09.2005 12:05 749 nwc.cpl.manifest
    19.09.2005 12:05 749 sapi.cpl.manifest
    19.09.2005 12:05 749 cdplayer.exe.manifest
    19.09.2005 12:05 749 wuaucpl.cpl.manifest
    19.09.2005 12:03 21.740 emptyregdb.dat
    26.08.2005 17:14 127.078 javaws.exe
    26.08.2005 17:14 49.265 jpicpl32.cpl
    26.08.2005 14:55 49.250 javaw.exe
    26.08.2005 14:55 49.248 java.exe
    26.05.2005 03:19 173.536 wuweb.dll
    21.04.2005 14:45 69.632 ElbyCDIO.dll
    15.04.2005 18:58 1.071.088 Mscomctl.ocx
    15.04.2005 06:00 8.704 CNMVS78.DLL
    15.04.2005 06:00 140.288 CNMLM78.DLL
    08.03.2005 19:17 90.112 CNMCP78.exe
    07.03.2005 10:52 79.432 GEARAspi.dll

    Volume in Laufwerk C: hat keine Bezeichnung.
    Volumeseriennummer: 7848-33BE

    Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

    01.12.2005 21:29 409.600 ~DF4FA4.tmp
    01.12.2005 21:04 14.657 java_install_reg.log
    22.11.2005 18:38 32.768 ~DF2859.tmp
    22.11.2005 18:38 32.768 ~DF282A.tmp
    22.11.2005 18:38 32.768 ~DF27FA.tmp
    22.11.2005 18:38 32.768 ~DF27B9.tmp
    22.11.2005 18:38 32.768 ~DF2789.tmp
    22.11.2005 18:38 32.768 ~DF2708.tmp
    22.11.2005 18:38 32.768 ~DF26D8.tmp
    22.11.2005 18:38 32.768 ~DF2694.tmp
    22.11.2005 18:38 32.768 ~DF2666.tmp
    22.11.2005 18:38 32.768 ~DF2637.tmp
    22.11.2005 18:38 32.768 ~DF2607.tmp
    22.11.2005 18:38 32.768 ~DF23ED.tmp
    22.11.2005 18:38 32.768 ~DF205C.tmp
    22.11.2005 18:38 32.768 ~DF203C.tmp
    22.11.2005 18:38 32.768 ~DF201A.tmp
    22.11.2005 18:38 32.768 ~DF1FFA.tmp
    22.11.2005 18:38 32.768 ~DF1FC7.tmp
    22.11.2005 18:38 32.768 ~DF1FA5.tmp
    22.11.2005 18:38 32.768 ~DF1F78.tmp
    22.11.2005 18:38 32.768 ~DF1F55.tmp
    22.11.2005 18:38 32.768 ~DF1F30.tmp
    22.11.2005 18:38 32.768 ~DF1F0E.tmp
    22.11.2005 18:38 32.768 ~DF1EEF.tmp
    22.11.2005 18:38 32.768 ~DF1ECC.tmp
    22.11.2005 18:38 32.768 ~DF1DF2.tmp
    22.11.2005 18:38 32.768 ~DF1DB7.tmp
    22.11.2005 18:38 32.768 ~DF1D98.tmp
    22.11.2005 18:38 32.768 ~DF1D76.tmp
    22.11.2005 18:38 32.768 ~DF1D56.tmp
    22.11.2005 18:38 32.768 ~DF1D34.tmp
    22.11.2005 18:38 32.768 ~DF1D0F.tmp
    22.11.2005 18:38 32.768 ~DF1C90.tmp
    22.11.2005 18:38 32.768 ~DF1C5C.tmp
    22.11.2005 18:38 32.768 ~DF1C3A.tmp
    22.11.2005 18:38 32.768 ~DF1C18.tmp
    22.11.2005 18:38 32.768 ~DF1BAF.tmp
    22.11.2005 18:38 32.768 ~DF1B90.tmp
    22.11.2005 18:38 32.768 ~DF1B6E.tmp
    22.11.2005 18:38 32.768 ~DF1B4F.tmp
    22.11.2005 18:38 32.768 ~DF1B1B.tmp
    22.11.2005 18:38 32.768 ~DF1AF8.tmp
    22.11.2005 18:38 32.768 ~DF1AD9.tmp
    22.11.2005 18:38 32.768 ~DF1AB6.tmp
    22.11.2005 18:38 32.768 ~DF1A97.tmp
    22.11.2005 18:38 32.768 ~DF1A75.tmp
    22.11.2005 18:38 32.768 ~DF1A56.tmp
    22.11.2005 18:38 32.768 ~DF1A19.tmp
    22.11.2005 18:38 32.768 ~DF19F0.tmp
    22.11.2005 18:36 3.346 pihp(0002).txt
    22.11.2005 18:36 234.014 pihp(0002)_LibraryInstall.txt
    22.11.2005 18:35 1.159.808 pihp(0002)_EditorInstall.txt
    22.11.2005 10:51 579 response.isr
    21.11.2005 16:01 5.091.655 tmp-2.xpi
    19.11.2005 18:04 0 CacheInfo.dnl
    19.11.2005 17:50 4 Twain001.Mtx
    19.11.2005 17:50 705 TWAIN.LOG
    19.11.2005 17:50 156 Twunk001.MTX
    19.11.2005 17:33 90.070 lastscan.JPG
    19.11.2005 17:32 40.960 rtdrvmon.exe
    19.11.2005 16:23 245.760 mtf73.tmp
    19.11.2005 16:13 16.384 mtf6D.tmp
    19.11.2005 16:13 32.768 mtf6C.tmp
    18.11.2005 10:20 1.179.648 tmp-1.xpi
    16.11.2005 17:58 851.968 ~DF247A.tmp
    16.11.2005 17:58 717 control.xml
    12.11.2005 14:34 32.768 ~DF53FF.tmp
    12.11.2005 14:34 32.768 ~DF53E1.tmp
    12.11.2005 14:34 32.768 ~DF53C1.tmp
    12.11.2005 14:34 32.768 ~DF53A3.tmp
    12.11.2005 14:34 32.768 ~DF5382.tmp
    12.11.2005 14:34 32.768 ~DF5364.tmp
    12.11.2005 14:34 32.768 ~DF5346.tmp
    12.11.2005 14:34 32.768 ~DF5326.tmp
    12.11.2005 14:34 32.768 ~DF5307.tmp
    12.11.2005 14:34 32.768 ~DF52E7.tmp
    12.11.2005 14:34 32.768 ~DF52C9.tmp
    12.11.2005 14:34 32.768 ~DF52AB.tmp
    12.11.2005 14:34 32.768 ~DF526B.tmp
    12.11.2005 14:34 32.768 ~DF524D.tmp
    12.11.2005 14:34 32.768 ~DF522C.tmp
    12.11.2005 14:34 32.768 ~DF520E.tmp
    12.11.2005 14:34 32.768 ~DF51F0.tmp
    12.11.2005 14:34 32.768 ~DF51D0.tmp
    12.11.2005 14:34 32.768 ~DF51B2.tmp
    12.11.2005 14:34 32.768 ~DF5191.tmp
    12.11.2005 14:34 32.768 ~DF5173.tmp
    12.11.2005 14:34 32.768 ~DF5155.tmp
    12.11.2005 14:34 32.768 ~DF5135.tmp
    12.11.2005 14:34 32.768 ~DF5116.tmp
    12.11.2005 14:34 32.768 ~DF50F8.tmp
    12.11.2005 14:34 32.768 ~DF50D8.tmp
    12.11.2005 14:34 32.768 ~DF50BA.tmp
    12.11.2005 14:34 32.768 ~DF5099.tmp
    12.11.2005 14:34 32.768 ~DF507B.tmp
    12.11.2005 14:34 32.768 ~DF505B.tmp
    12.11.2005 14:34 32.768 ~DF503B.tmp
    12.11.2005 14:34 32.768 ~DF501B.tmp
    12.11.2005 14:34 32.768 ~DF4FFA.tmp
    12.11.2005 14:34 32.768 ~DF4FDB.tmp
    12.11.2005 14:34 32.768 ~DF4FB9.tmp
    12.11.2005 14:34 32.768 ~DF4F9A.tmp
    12.11.2005 14:34 32.768 ~DF4F3E.tmp
    12.11.2005 14:34 32.768 ~DF4F20.tmp
    12.11.2005 14:34 32.768 ~DF4F00.tmp
    12.11.2005 14:34 32.768 ~DF4EE1.tmp
    12.11.2005 14:34 32.768 ~DF4EC3.tmp
    12.11.2005 14:34 32.768 ~DF4EA3.tmp
    12.11.2005 14:34 32.768 ~DF4E85.tmp
    12.11.2005 14:34 32.768 ~DF4E64.tmp
    12.11.2005 14:34 32.768 ~DF4E46.tmp
    12.11.2005 14:34 32.768 ~DF4E28.tmp
    12.11.2005 14:34 32.768 ~DF4E07.tmp
    12.11.2005 14:34 32.768 ~DF4DE6.tmp
    12.11.2005 14:34 32.768 ~DF4D4E.tmp
    12.11.2005 14:34 32.768 ~DF4D2E.tmp
    12.11.2005 14:34 32.768 ~DF4D10.tmp
    12.11.2005 14:34 32.768 ~DF4CF1.tmp
    12.11.2005 14:34 32.768 ~DF4CD1.tmp
    12.11.2005 14:34 32.768 ~DF4CB3.tmp
    12.11.2005 14:34 32.768 ~DF4C93.tmp
    12.11.2005 14:34 32.768 ~DF4C74.tmp
    12.11.2005 14:34 32.768 ~DF4C56.tmp
    12.11.2005 14:34 32.768 ~DF4C36.tmp
    12.11.2005 14:34 32.768 ~DF4C18.tmp
    12.11.2005 14:34 32.768 ~DF4BF9.tmp
    12.11.2005 14:34 32.768 ~DF4BD9.tmp
    12.11.2005 14:34 32.768 ~DF4BBB.tmp
    12.11.2005 14:34 32.768 ~DF4B9B.tmp
    12.11.2005 14:34 32.768 ~DF4B7C.tmp
    12.11.2005 14:34 32.768 ~DF4B5C.tmp
    12.11.2005 14:34 32.768 ~DF4B3E.tmp
    12.11.2005 14:34 32.768 ~DF4B20.tmp
    12.11.2005 14:34 32.768 ~DF4AFF.tmp
    12.11.2005 14:34 32.768 ~DF4AE1.tmp
    12.11.2005 14:34 32.768 ~DF4AC1.tmp
    12.11.2005 14:34 32.768 ~DF4AA2.tmp
    12.11.2005 14:34 32.768 ~DF4A7A.tmp
    12.11.2005 14:34 32.768 ~DF2CA4.tmp
    12.11.2005 14:34 32.768 ~DF2C75.tmp
    12.11.2005 14:34 32.768 ~DF2C49.tmp
    12.11.2005 14:34 32.768 ~DF2C1B.tmp
    12.11.2005 14:34 32.768 ~DF2BE0.tmp
    12.11.2005 14:34 32.768 ~DF2BB2.tmp
    12.11.2005 14:34 32.768 ~DF2B84.tmp
    12.11.2005 14:34 32.768 ~DF2B57.tmp
    12.11.2005 14:34 32.768 ~DF2B29.tmp
    12.11.2005 14:34 32.768 ~DF2AFC.tmp
    12.11.2005 14:34 32.768 ~DF2ACE.tmp
    12.11.2005 14:34 32.768 ~DF28E0.tmp
    12.11.2005 14:33 32.768 ~DF27F4.tmp
    12.11.2005 14:33 32.768 ~DF27D6.tmp
    12.11.2005 14:33 32.768 ~DF27B7.tmp
    12.11.2005 14:33 32.768 ~DF2797.tmp
    12.11.2005 14:33 32.768 ~DF2779.tmp
    12.11.2005 14:33 32.768 ~DF2759.tmp
    12.11.2005 14:33 32.768 ~DF273A.tmp
    12.11.2005 14:33 32.768 ~DF271C.tmp
    12.11.2005 14:33 32.768 ~DF26FC.tmp
    12.11.2005 14:33 32.768 ~DF26DE.tmp
    12.11.2005 14:33 32.768 ~DF26BC.tmp
    12.11.2005 14:33 32.768 ~DF269D.tmp
    12.11.2005 14:33 32.768 ~DF25BB.tmp
    12.11.2005 14:33 32.768 ~DF259B.tmp
    12.11.2005 14:33 32.768 ~DF257A.tmp
    12.11.2005 14:33 32.768 ~DF255A.tmp
    12.11.2005 14:33 32.768 ~DF2539.tmp
    12.11.2005 14:33 32.768 ~DF251A.tmp
    12.11.2005 14:33 32.768 ~DF24F8.tmp
    12.11.2005 14:33 32.768 ~DF24D9.tmp
    12.11.2005 14:33 32.768 ~DF24B8.tmp
    12.11.2005 14:33 32.768 ~DF2499.tmp
    12.11.2005 14:33 32.768 ~DF2479.tmp
    12.11.2005 14:33 32.768 ~DF2458.tmp
    12.11.2005 14:33 32.768 ~DF2439.tmp
    12.11.2005 14:33 32.768 ~DF2418.tmp
    12.11.2005 14:33 32.768 ~DF23F8.tmp
    12.11.2005 14:33 32.768 ~DF23D9.tmp
    12.11.2005 14:33 32.768 ~DF23B8.tmp
    12.11.2005 14:33 32.768 ~DF2399.tmp
    12.11.2005 14:33 32.768 ~DF2379.tmp
    12.11.2005 14:33 32.768 ~DF2358.tmp
    12.11.2005 14:33 32.768 ~DF2339.tmp
    12.11.2005 14:33 32.768 ~DF2318.tmp
    12.11.2005 14:33 32.768 ~DF22F2.tmp
    12.11.2005 14:33 32.768 ~DF22C1.tmp
    12.11.2005 14:33 16.384 ~DFA3D.tmp
    12.11.2005 14:33 16.384 ~DFA60.tmp
    12.11.2005 14:33 16.384 ~DF9F5.tmp
    12.11.2005 14:33 16.384 ~DFA15.tmp
    12.11.2005 14:33 16.384 ~DF9AF.tmp
    12.11.2005 14:33 16.384 ~DF98C.tmp
    12.11.2005 14:33 16.384 ~DF9D2.tmp
    12.11.2005 14:33 16.384 ~DF969.tmp
    12.11.2005 14:33 16.384 ~DF91D.tmp
    12.11.2005 14:33 16.384 ~DF946.tmp
    12.11.2005 14:33 16.384 ~DF8DD.tmp
    12.11.2005 14:33 16.384 ~DF8B5.tmp
    12.11.2005 14:33 16.384 ~DF900.tmp
    12.11.2005 14:33 16.384 ~DF897.tmp
    12.11.2005 14:33 16.384 ~DF874.tmp
    12.11.2005 14:33 16.384 ~DF82E.tmp
    12.11.2005 14:33 16.384 ~DF851.tmp
    12.11.2005 14:33 16.384 ~DF7C5.tmp
    12.11.2005 14:33 16.384 ~DF7E8.tmp
    12.11.2005 14:33 16.384 ~DF80B.tmp
    12.11.2005 14:33 16.384 ~DF7A2.tmp
    12.11.2005 14:33 16.384 ~DF75C.tmp
    12.11.2005 14:33 16.384 ~DF779.tmp
    12.11.2005 14:33 16.384 ~DF739.tmp
    12.11.2005 14:33 16.384 ~DF716.tmp
    12.11.2005 14:33 16.384 ~DF6F3.tmp
    12.11.2005 14:33 16.384 ~DF68A.tmp
    12.11.2005 14:33 16.384 ~DF6A7.tmp
    12.11.2005 14:33 16.384 ~DF6D0.tmp
    12.11.2005 14:33 16.384 ~DF621.tmp
    12.11.2005 14:33 16.384 ~DF667.tmp
    12.11.2005 14:33 16.384 ~DF644.tmp
    12.11.2005 14:33 16.384 ~DF5FD.tmp
    12.11.2005 14:33 16.384 ~DF5D4.tmp
    12.11.2005 14:33 16.384 ~DF5B7.tmp
    12.11.2005 14:33 16.384 ~DF594.tmp
    12.11.2005 14:33 16.384 ~DF56A.tmp
    12.11.2005 14:33 16.384 ~DF540.tmp
    12.11.2005 14:33 16.384 ~DF4E6.tmp
    12.11.2005 14:33 16.384 ~DF516.tmp
    12.11.2005 14:33 16.384 ~DF498.tmp
    12.11.2005 14:33 16.384 ~DF46E.tmp
    12.11.2005 14:33 16.384 ~DF4C2.tmp
    12.11.2005 14:33 16.384 ~DF444.tmp
    12.11.2005 14:33 16.384 ~DF41A.tmp
    12.11.2005 14:33 16.384 ~DF3C6.tmp
    12.11.2005 14:33 16.384 ~DF3EA.tmp
    12.11.2005 14:33 16.384 ~DF1DC.tmp
    12.11.2005 14:31 16.384 ~DFC2FD.tmp
    12.11.2005 14:31 16.384 ~DFC2E0.tmp
    12.11.2005 14:31 16.384 ~DFC2BD.tmp
    12.11.2005 14:31 16.384 ~DFC2A4.tmp
    12.11.2005 14:31 16.384 ~DFC287.tmp
    12.11.2005 14:31 16.384 ~DFC24D.tmp
    12.11.2005 14:31 16.384 ~DFC26A.tmp
    12.11.2005 14:31 16.384 ~DFC230.tmp
    12.11.2005 14:31 16.384 ~DFC20D.tmp
    12.11.2005 14:31 16.384 ~DFC1F6.tmp
    12.11.2005 14:31 16.384 ~DFC1D9.tmp
    12.11.2005 14:31 16.384 ~DFC1BC.tmp
    12.11.2005 14:31 16.384 ~DFC070.tmp
    12.11.2005 14:31 16.384 ~DFC08D.tmp
    12.11.2005 14:31 16.384 ~DFC036.tmp
    12.11.2005 14:31 16.384 ~DFBFFC.tmp
    12.11.2005 14:31 16.384 ~DFC019.tmp
    12.11.2005 14:31 16.384 ~DFC053.tmp
    12.11.2005 14:31 16.384 ~DFBFDF.tmp
    12.11.2005 14:31 16.384 ~DFBFC2.tmp
    12.11.2005 14:31 16.384 ~DFBF9F.tmp
    12.11.2005 14:31 16.384 ~DFBF6B.tmp
    12.11.2005 14:31 16.384 ~DFBF31.tmp
    12.11.2005 14:31 16.384 ~DFBF4E.tmp
    12.11.2005 14:31 16.384 ~DFBF88.tmp
    12.11.2005 14:31 16.384 ~DFBEBD.tmp
    12.11.2005 14:31 16.384 ~DFBEDA.tmp
    12.11.2005 14:31 16.384 ~DFBF14.tmp
    12.11.2005 14:31 16.384 ~DFBEF7.tmp
    12.11.2005 14:31 16.384 ~DFBE83.tmp
    12.11.2005 14:31 16.384 ~DFBEA0.tmp
    12.11.2005 14:31 16.384 ~DFBE66.tmp
    12.11.2005 14:31 16.384 ~DFBE49.tmp
    12.11.2005 14:31 16.384 ~DFBE0F.tmp
    12.11.2005 14:31 16.384 ~DFBE26.tmp
    12.11.2005 14:31 16.384 ~DFBDF0.tmp
    12.11.2005 14:31 16.384 ~DFBD76.tmp
    12.11.2005 14:31 16.384 ~DFBD59.tmp
    12.11.2005 14:31 16.384 ~DFBD3C.tmp
    12.11.2005 14:31 16.384 ~DFBD1A.tmp
    12.11.2005 14:31 16.384 ~DFBD00.tmp
    12.11.2005 14:31 16.384 ~DFBCE3.tmp
    12.11.2005 14:31 16.384 ~DFBCC6.tmp
    12.11.2005 14:31 16.384 ~DFBCA9.tmp
    12.11.2005 14:31 16.384 ~DFBC8C.tmp
    12.11.2005 14:31 16.384 ~DFBC52.tmp
    12.11.2005 14:31 16.384 ~DFBC35.tmp
    12.11.2005 14:31 16.384 ~DFBC69.tmp
    12.11.2005 14:31 16.384 ~DFBB77.tmp
    12.11.2005 14:31 16.384 ~DFBB3D.tmp
    12.11.2005 14:31 16.384 ~DFBB20.tmp
    12.11.2005 14:31 16.384 ~DFBB03.tmp
    12.11.2005 14:31 16.384 ~DFBB5A.tmp
    12.11.2005 14:31 16.384 ~DFBAE6.tmp
    12.11.2005 14:31 16.384 ~DFBAC9.tmp
    12.11.2005 14:31 16.384 ~DFBAAB.tmp
    12.11.2005 14:31 16.384 ~DFBA8E.tmp
    12.11.2005 14:31 16.384 ~DFBA54.tmp
    12.11.2005 14:31 16.384 ~DFBA6B.tmp
    12.11.2005 14:31 16.384 ~DFB9D3.tmp
    12.11.2005 14:31 16.384 ~DFB9EA.tmp
    12.11.2005 14:31 16.384 ~DFB999.tmp
    12.11.2005 14:31 16.384 ~DFB97C.tmp
    12.11.2005 14:31 16.384 ~DFB95F.tmp
    12.11.2005 14:31 16.384 ~DFB9B6.tmp
    12.11.2005 14:31 16.384 ~DFB93C.tmp
    12.11.2005 14:31 16.384 ~DFB925.tmp
    12.11.2005 14:31 16.384 ~DFB908.tmp
    12.11.2005 14:31 16.384 ~DFB8EB.tmp
    12.11.2005 14:31 16.384 ~DFB8B1.tmp
    12.11.2005 14:31 16.384 ~DFB88C.tmp
    12.11.2005 14:31 16.384 ~DFB8CE.tmp
    30.10.2005 09:21 586.061 setup2.exe
    30.10.2005 09:10 49 3488wrfiles.~lk
    30.10.2005 08:22 0 jupdate1.5.0.xml
    30.10.2005 07:50 2.169 jusched.log
    29.10.2005 17:30 47.136 java_install.log
    29.10.2005 17:25 757 jinstall.cfg
    29.10.2005 16:48 182.324 Exit.wav
    29.10.2005 16:48 367.544 Open.wav
    29.10.2005 16:48 5.924 Click.wav
    29.10.2005 16:48 124.764 Www_shine.wav
    29.10.2005 16:48 1.048 Pal-acer.pal
    29.10.2005 16:48 22.094 Shine.wav
    29.10.2005 16:48 1.048 Pal.pal
    29.10.2005 15:53 3.232 NeroBackItUp.txt
    27.10.2005 16:23 369.152 dlg_0x6AE63F188.tmp
    25.10.2005 19:32 119.016 set1.tmp
    24.10.2005 16:32 4.096 gtb1.tmp.cab
    24.10.2005 16:32 0 gtb1.tmp
    23.10.2005 10:25 0 gtb60.tmp.cab
    23.10.2005 10:25 0 gtb60.tmp
    19.10.2005 15:48 45.096 _VWUPSRV.EXE
    16.10.2005 10:22 11.224 CFGD.tmp
    16.10.2005 10:22 11.224 CFGA.tmp
    16.10.2005 09:24 906.397.296 CDImage0000.bin
    16.10.2005 09:24 173 CDImage0000.cue
    11.10.2005 21:23 16.384 ~DF3BA1.tmp
    11.10.2005 21:23 512 ~DF3BBA.tmp
    09.10.2005 09:01 5.430 MS41.LOG
    08.10.2005 22:16 45.056 gtb6.tmp.cab
    08.10.2005 22:15 0 gtb6.tmp
    06.10.2005 20:07 59.964 ~e5.0001
    06.10.2005 18:55 43.953.184 diashow0000.mp2
    06.10.2005 18:55 225.912.960 diashow0000.mpv
    06.10.2005 17:28 0 aax3A.tmp
    06.10.2005 17:28 0 aax3B.tmp
    06.10.2005 17:27 0 aax39.tmp
    06.10.2005 16:19 0 aax30.tmp
    06.10.2005 16:19 0 aax2F.tmp
    06.10.2005 16:14 0 aax2E.tmp
    06.10.2005 16:08 16.384 Perflib_Perfdata_59c.dat
    04.10.2005 19:42 0 aax232.tmp
    04.10.2005 18:58 0 Twunk002.MTX
    04.10.2005 18:57 2.195 pp9setup.log
    04.10.2005 18:16 3.305 Office XP Professional mit FrontPage Setup(0003).txt
    04.10.2005 18:16 1.957.808 Office XP Professional mit FrontPage Setup(0003)_Task(0001).txt
    04.10.2005 18:15 1.788 Office XP Professional mit FrontPage Setup(0002).txt
    04.10.2005 18:12 5.105 ASPNETSetup.log
    04.10.2005 18:00 11.224 CFG5C.tmp
    04.10.2005 17:58 11.224 CFG57.tmp
    04.10.2005 17:58 122 CFG55.tmp
    04.10.2005 17:58 11.224 CFG54.tmp
    04.10.2005 17:58 122 CFG52.tmp
    04.10.2005 17:57 11.224 CFG4E.tmp
    04.10.2005 17:57 11.224 CFG4B.tmp
    04.10.2005 17:57 2.312 dotNetFx.log
    04.10.2005 17:55 11.224 CFG1A.tmp
    02.10.2005 11:47 16.384 ~DF5741.tmp
    29.09.2005 22:16 0 aax7E.tmp
    21.09.2005 20:58 919.931 tmp.xpi
    21.09.2005 11:16 107.512 Set75.tmp
    21.09.2005 10:26 16.384 ~DF6B0D.tmp
    20.09.2005 18:22 1.081 ALBUM.GIF
    20.09.2005 18:22 1.008 VIDEO.GIF
    20.09.2005 18:22 1.052 DATA.GIF
    20.09.2005 18:22 1.042 COPY.GIF
    20.09.2005 18:22 1.065 IMAGE.GIF
    20.09.2005 18:22 1.014 AUDIO.GIF
    20.09.2005 09:44 3.288 AutoRoute 2005 Setup(0001).txt
    20.09.2005 09:44 363.528 AutoRoute 2005 Setup(0001)_Task(0001).txt
    20.09.2005 09:36 3.346 pihp(0001).txt
    20.09.2005 09:36 234.846 pihp(0001)_LibraryInstall.txt
    20.09.2005 09:35 1.165.864 pihp(0001)_EditorInstall.txt
    19.09.2005 14:16 453 WksSetup(0001).txt
    19.09.2005 14:16 2.763.864 WksSetup(0001)_MsiExec.txt
    19.09.2005 13:33 0 11780
    19.09.2005 13:15 36.864 MSI2.tmp
    19.09.2005 12:50 3.527 Office XP Professional mit FrontPage Setup(0001).txt
    19.09.2005 12:47 8.443.042 Office XP Professional mit FrontPage Setup(0001)_Task(0001).txt
    19.09.2005 12:45 45.640 offcln10.log
    15.09.2005 15:58 54.272 Set448.tmp
    15.09.2005 15:58 346.602 IEC14.tmp
    15.09.2005 15:58 54.272 Set16.tmp
    06.09.2005 13:09 339.968 eauninstall.exe
    06.09.2005 13:09 585.728 AutoRunGUI.dll
    06.09.2005 13:09 733.184 AutoRun.exe
    07.04.2005 08:08 4.053 STARTLANG.TXT

    Volume in Laufwerk C: hat keine Bezeichnung.
    Volumeseriennummer: 7848-33BE

    Verzeichnis von C:\WINDOWS

    04.12.2005 09:39 0 0.log
    04.12.2005 09:39 157 wiadebug.log
    04.12.2005 09:39 50 wiaservc.log
    04.12.2005 09:39 2.048 bootstat.dat
    02.12.2005 20:55 892 win.ini
    01.12.2005 21:24 463 Capictrl.INI
    01.12.2005 18:34 24.040 TMPG001.TMP
    22.11.2005 18:35 464.895 setupapi.log
    21.11.2005 16:02 99.970 UninstallFirefox.exe
    21.11.2005 16:02 4.804 mozver.dat
    21.11.2005 12:56 0 hosts
    21.11.2005 12:54 0 uniq
    19.11.2005 15:49 151 PhotoSnapViewer.INI
    16.11.2005 22:44 116 NeroDigital.ini
    16.11.2005 21:09 75.859 DirectX.log
    16.11.2005 17:58 67.295 wmsetup.log
    30.10.2005 09:15 466 setuplog.txt
    27.10.2005 19:44 102 hotcore.log
    08.10.2005 10:19 365 lexstat.ini
    06.10.2005 19:13 2.359.350 Firefox Wallpaper.bmp
    04.10.2005 18:21 138.576 iis6.log
    04.10.2005 18:21 16.830 ntdtcsetup.log
    04.10.2005 18:21 26.554 comsetup.log
    04.10.2005 18:21 31.010 tsoc.log
    04.10.2005 18:21 4.566 imsins.log
    04.10.2005 18:21 53.252 ocgen.log
    04.10.2005 18:21 2.891 msgsocm.log
    04.10.2005 18:21 4.375 ocmsn.log
    04.10.2005 18:21 40.364 FaxSetup.log
    04.10.2005 18:21 29.856 msmqinst.log
    04.10.2005 18:17 1.442 COM+.log
    04.10.2005 18:14 5.072 imsins.BAK
    04.10.2005 18:02 942 OEWABLog.txt
    04.10.2005 17:52 3.066 dasetup.log
    04.10.2005 17:51 253.952 Setup1.exe
    04.10.2005 17:51 74.752 ST6UNST.EXE
    03.10.2005 10:48 0 WinDB.INI
    30.09.2005 10:04 87 GEARInstall.log
    30.09.2005 09:40 3.286 Windows Update.log
    21.09.2005 20:45 2.304 WindowsUpdate.log
    21.09.2005 20:37 92 CMISETUP.INI
    21.09.2005 20:37 26 CMCDPLAY.INI
    21.09.2005 20:37 0 Wininit.ini
    21.09.2005 12:28 0 muveeapp.INI
    20.09.2005 20:44 234 wmsetup10.log
    20.09.2005 20:43 316.640 WMSysPr9.prx
    20.09.2005 20:08 0 nsreg.dat
    20.09.2005 18:54 3.422 SchedLgU.Txt
    20.09.2005 09:59 299.552 WMSysPrx.prx
    20.09.2005 08:52 59 WINPHONE.INI
    20.09.2005 08:47 2.463 Ascd_tmp.ini
    19.09.2005 13:34 0 longfile.INI
    19.09.2005 13:33 546 WT61KR.UWL
    19.09.2005 13:33 546 WT61CE.UWL
    19.09.2005 13:33 546 WT61OZ.UWL
    19.09.2005 13:33 546 WT61US.UWL
    19.09.2005 13:33 546 WT61UK.UWL
    19.09.2005 13:33 546 WT61DE.UWL
    19.09.2005 13:33 546 WT61SD.UWL
    19.09.2005 12:56 0 Sti_Trace.log
    19.09.2005 12:54 1.348 regopt.log
    19.09.2005 12:54 231 system.ini
    19.09.2005 12:47 400 ODBC.INI
    19.09.2005 12:10 8.192 REGLOCS.OLD
    19.09.2005 12:09 174.883 setupact.log
    19.09.2005 12:09 1.246 setuperr.log
    19.09.2005 12:06 0 control.ini
    19.09.2005 12:06 4.161 ODBCINST.INI
    19.09.2005 12:05 749 WindowsShell.Manifest
    19.09.2005 12:03 1.060 sessmgr.setup.log
    19.09.2005 12:03 37 vbaddin.ini
    19.09.2005 12:03 36 vb.ini
    19.09.2005 12:03 128 DtcInstall.log

    Volume in Laufwerk C: hat keine Bezeichnung.
    Volumeseriennummer: 7848-33BE

    Verzeichnis von C:\

    04.12.2005 09:47 0 sys.txt
    04.12.2005 09:46 6.634 system.txt
    04.12.2005 09:45 21.297 systemtemp.txt
    04.12.2005 09:43 104.173 system32.txt
    04.12.2005 09:38 805.306.368 pagefile.sys
    27.10.2005 18:38 0 hb_1.tmp
    16.10.2005 09:00 4.847 CLDMA.LOG
    21.09.2005 11:18 50 AUTOEXEC.BAT
    20.09.2005 09:07 168 setupfax.log
    19.09.2005 12:06 0 CONFIG.SYS
    19.09.2005 12:06 0 IO.SYS
    19.09.2005 12:06 0 MSDOS.SYS
    19.09.2005 11:59 194 boot.ini
    22.12.2004 13:26 27.787.264 recovery_cd_g.iso
    18.08.2001 13:00 4.952 bootfont.bin
    18.08.2001 13:00 45.124 NTDETECT.COM
    18.08.2001 13:00 224.032 ntldr
    17 Datei(en) 833.505.103 Bytes
    0 Verzeichnis(se), 26.717.122.560 Bytes frei
  9. 04.12.2005, 12:24 #9
    Ruby
    Ruby ist offline
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.041

    AW: Trojanerbefall????

    Hallo Richris

    dein Betriebssystem ist veraltet: -> bitte www.windowsupdate.com besuchen, das SP2 runterladen und aufspielen, den IE updaten! Der IE muss aktuell sein, auch dann, wenn du ihn nicht verwenden solltest. Alle Software auf einem System MUSS auf dem aktuellen Stand sein, sonst hat das System Lücken, durch die Malware eindringen kann. Bitte mach das nun zuerst, bevor wir weitere Reinigungen vornehmen.
  10. 04.12.2005, 18:54 #10
    Richris
    Richris ist offline
    Einsteiger
    Registriert seit
    02.12.2005
    Beiträge
    6

    AW: Trojanerbefall????

    hallo Ruby,

    nochmals vielen Dank fuer deine bisherige Hilfe. Ich hab mich nun doch dafuer entschieden die platte zu formatiern und alles neu aufzuspielen mit den jeweiligen updates.

    trotzdem nochmals vielen dank fuer deine unterstuetzung.

    gruss

    christian
Seite 1 von 2 12 LetzteLetzte
« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. Hintergrundbild läßt sich nach Trojanerbefall nicht mehr ändern!
    Von yaDur im Forum Archiv
    Antworten: 11
    Letzter Beitrag: 19.07.2005, 16:51
  2. Trojanerbefall?
    Von drs im Forum Archiv
    Antworten: 1
    Letzter Beitrag: 17.07.2005, 19:44
  3. Eigenschaften von Anzeigen fehlen nach Trojanerbefall
    Von andi-ah im Forum Archiv
    Antworten: 25
    Letzter Beitrag: 20.06.2005, 16:28

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln