Anleitung filelist.bat

[Karl]

Wir wollen uns den Inhalt einiger wichtiger Systemverzeichnisse auf deinem System anschauen, in denen oft Malwaredateien oder Spuren, anhand derer sich Infektionen und ihre Geschichte zurückverfolgen lassen, zu finden sind.

Dazu lade das angehängte Zip auf deinen Computer und entpacke es auf deinen Desktop, heraus kommt die filelist.bat. Für die korrekte Funktion ist es wichtig, dass die filelist.bat von dem Laufwerk aus gestartet wird, auf dem das Betriebssystem installiert ist. Vorteilhaft ist es, wenn Du jetzt dein System neu startest, falls es beim starten derzeit Probleme gibt, kannst Du das aber auch auslassen.

Die filelist.bat starten, sie öffnet einen Editor mit einer Textdatei. Bei älteren Windowsversionen kann es passieren, dass Notepad diese Datei nicht laden kann, weil sie zu groß ist. Du wirst dann gefragt ob Du sie mit Wordpad öffnen möchtest, wähle ja.

Sollte die Datei nicht geöffnet werden (was passieren kann, wenn z.B. die Editordatei beschädigt ist oder Verknüpfungen nicht stimmen), dann ist dieses Log normalerweise mit dem Namen filelist.txt im Temp-Verzeichnis gespeichert. Den Windows Explorer starten, in der Adresszeile "%temp%" (ohne "") eingeben und schon bist Du da. Im Hauptverzeichnis des Systemlaufwerks ist es, falls auf deinem System die Umgebungsvariable "temp" fehlen sollte. Öffne diese Datei dann manuell, wenn Du keinen anderen Editor zur Verfügung hast, eignet sich zur Not auch eine Textverarbeitung, dort wirst Du allerdings im Dialog für "Datei öffnen" den Dateityp auf alle stellen müssen, um TXT-Dateien zu sehen.

In dieser Datei stehen mehrere Listen mit den Inhalten von Verzeichnissen, ihre Anzahl ist von deinem Betriebssystem (sowie dessen Konfiguration) abhängig. Jede dieser Listen ist nach der Zeit geordnet, wobei am Anfang jeweils die jüngsten Dateien stehen. Gehe jetzt diese Listen durch und lösche alle Dateieinträge heraus die älter als sechs Monate sind (falls du gebeten wurdest, einen anderen Zeitraum zu wählen, dann mach dies entsprechend). Zwischen jeweils zwei Listen ist eine Zeile mit einem Titel, der viele Striche enthält, eingeschoben.

Nachdem Du damit fertig bist, markiere den verbleibenden Rest vollständig und kopiere ihn über die Zwischenablage in deine Antwort hier ein. Damit es im Thread übersichtlicher bleibt, füge bitte vorher diese Zeile ein:

[CODE]

und dahinter diese:

[/CODE]

Feedback und Verbesserungsvorschläge erwünscht.

[Karl]

We want to check the contents of some important system folders. They hold often malware or traces which can help to clean your computer.

Unzip the attached file to your desktop, you will get filelist.bat. It is important that you run filelist.bat from the drive where your operating system is installed. It's a good idea to restart your system before running it.

Start filelist.bat, it will open notepad with a text file. On old windows version it is possible that notepad can't load the file because it is too long. It will ask you if you want to use wordpad, choose yes.

If the file won't open (this could happen if notepad.exe or file type associations are destroyed) you will find it in the temp directory. Start windows explorer and type "%temp%" (without "") in the address line and you are there. In the case the temp variable is missing it will be in the root directory of your system drive. The file name is filelist.txt. You can open it with every program which is able to handle text files. Using a word processor you will need to choose "file type" all in the open dialogue to see *.txt files.

In this file there are different lists, each is the contents of one folder. The number is depending from version and configuration of your operating system. Each list is sorted over date with youngest first. Remove in each list all entries which are older than six months (if you are told to use another period use this). Between the lists are titles, this are lines with many dashes.

After this is done copy the remaning text into your clipboard and paste it into your answer. Please insert before it this line

[CODE]

and behind it this

[/CODE]

Feedback and suggestions for improvement are welcome.

[Speedy]

Gehe jetzt diese Listen durch und lösche alle Dateieinträge heraus die älter als einen Monat sind (falls du gebeten wurdest, einen anderen Zeitraum zu wählen, dann tu dies entsprechend).

alles was hier rot gekennzeichnet ist, ist älter als 30 tage und sollte somit nicht gepostet werden (das soll aus dem logfile gelöscht werden)
datum der anleitung -> 11.10.2006

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E09C-8850

Verzeichnis von C:\

11.10.2006 19:14 43 filelist.txt
11.10.2006 17:31 267.948.032 hiberfil.sys
11.10.2006 17:31 402.653.184 pagefile.sys
01.10.2006 00:37 7.808 caisslog.txt
25.09.2006 21:57 0 MSDOS.SYS
25.09.2006 21:57 0 IO.SYS
25.09.2006 21:57 0 AUTOEXEC.BAT
25.09.2006 21:57 0 CONFIG.SYS
25.09.2006 21:46 211 boot.ini
04.08.2004 14:00 251.184 ntldr
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 4.952 bootfont.bin
12 Datei(en) 670.912.978 Bytes
0 Verzeichnis(se), 12.606.455.808 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E09C-8850

Verzeichnis von C:\WINDOWS

11.10.2006 17:39 1.259.299 WindowsUpdate.log
11.10.2006 17:32 0 0.log
11.10.2006 17:31 159 wiadebug.log
11.10.2006 17:31 50 wiaservc.log
11.10.2006 17:31 2.048 bootstat.dat
11.10.2006 00:22 8.770 SchedLgU.Txt
25.09.2006 22:31 377.262 fssgpex.LOG
25.09.2006 22:29 118.842 bwUnin-6.3.2.123-4476822L.exe
25.09.2006 22:26 297 Q-Klez.log
25.09.2006 22:21 782.441 setuplog.txt
25.09.2006 22:03 8.192 REGLOCS.OLD
25.09.2006 21:57 0 control.ini
25.09.2006 21:57 316.640 WMSysPr9.prx
25.09.2006 21:54 749 WindowsShell.Manifest
25.09.2006 21:52 1.023 sessmgr.setup.log
25.09.2006 21:51 36 vb.ini
25.09.2006 21:50 133 DtcInstall.log
25.09.2006 21:47 200 cmsetacl.log
21.07.2006 13:55 258.720 arclib.dll
17.11.2005 23:12 533.504 opuc.dll

178 Datei(en) 26.161.693 Bytes
0 Verzeichnis(se), 12.606.443.520 Bytes frei

----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E09C-8850

Verzeichnis von C:\WINDOWS\system32

02.10.2006 17:20 13.764 wpa.dbl
01.10.2006 14:19 392.432 perfh009.dat
01.10.2006 14:19 58.732 perfc009.dat
01.10.2006 14:19 405.448 perfh007.dat
01.10.2006 14:19 70.778 perfc007.dat
01.10.2006 14:19 899.764 PerfStringBackup.INI
01.10.2006 11:53 244.720 FNTCACHE.DAT
25.09.2006 21:51 21.740 emptyregdb.dat
11.09.2006 10:37 8.960.936 MRT.exe
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
22.10.1997 18:37 27.612 vbade32.olb
11.07.1997 01:00 10.544 MSIMRT16.DLL
11.07.1997 01:00 14.336 MSIMRT.DLL
11.07.1997 01:00 120.320 MSIMUSIC.DLL
11.07.1997 01:00 22.016 MSIMRT32.DLL
03.12.1996 14:50 37.376 VEN2232.OLB
1960 Datei(en) 376.210.857 Bytes
0 Verzeichnis(se), 12.606.263.296 Bytes frei

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E09C-8850

Verzeichnis von C:\WINDOWS\Prefetch

11.10.2006 19:14 10.732 FIND.EXE-0EC32F1E.pf

1 Datei(en) 10.732 Bytes
0 Verzeichnis(se), 12.606.337.024 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E09C-8850

Verzeichnis von C:\WINDOWS\tasks

11.10.2006 17:31 6 SA.DAT
04.08.2004 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 12.606.345.216 Bytes frei

----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E09C-8850

Verzeichnis von C:\WINDOWS\Temp

10.10.2006 17:38 793.172 tmp.xpi
26.09.2006 18:46 255 WGAErrLog.txt
26.09.2006 18:40 409 WGANotify.settings
25.09.2006 22:45 1.446 iufsav.log
25.09.2006 22:31 442 apub2
5 Datei(en) 836.684 Bytes
0 Verzeichnis(se), 12.606.345.216 Bytes frei