Command.exe als Prozess

#61 Nomatic

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

Microsoft authenticate service

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Doppelklick:regsrch.vbs
reinkopieren:

MsaSvc

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#62 Beim Versuch RegSrch.vbs auszuführen sagt er mir, daß der Zugrif auf Windows Script Host auf diesem Rechner deaktiviert wurde.

Liegt das evtl an Spybot SD, SpywareBlaster oder XPAntispy?

#63 liegt am XPAntispy - dort den Windows Script Host freischalten
__________
MfG Sabina

rund um die PC-Sicherheit

#64 REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Microsoft authenticate service" 13.11.2006 16:10:47

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC\0000]
"DeviceDesc"="Microsoft authenticate service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc]
"DisplayName"="Microsoft authenticate service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000]
"DeviceDesc"="Microsoft authenticate service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc]
"DisplayName"="Microsoft authenticate service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000]
"DeviceDesc"="Microsoft authenticate service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc]
"DisplayName"="Microsoft authenticate service"

===================================================================


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "MsaSvc" 13.11.2006 16:11:39

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC\0000]
"Service"="MsaSvc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc\Enum]
"0"="Root\\LEGACY_MSASVC\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000]
"Service"="MsaSvc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000]
"Service"="MsaSvc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc\Enum]
"0"="Root\\LEGACY_MSASVC\\0000"

#65 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\ipv6monl.dll
C:\WINDOWS\system32\winpfg32.sys
C:\WINDOWS\system32\dxclib303562752.dll
C:\WINDOWS\system32\wunauclt.exe
C:\WINDOWS\system32\npptNT2.sys
C:\WINDOWS\PI.EXE
C:\WINDOWS\system32\DomainHelper.dll
C:\WINDOWS\system32\zirf2d63.dll

poste die reporte

_________________________________________________________________

ist fuer mich

Zitat

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc

C:\WINDOWS\keyboard1.dat
C:\WINDOWS\system32\ipv6monl.dll
C:\WINDOWS\system32\ldinfo.ldr
C:\WINDOWS\system32\winpfg32.sys
C:\WINDOWS\system32\click-005.ico
C:\WINDOWS\system32\dxclib303562752.dll
C:\WINDOWS\system32\zirf2d63.sys
C:\WINDOWS\system32\DomainHelper.dll
C:\WINDOWS\system32\zirf2d63.dll

__________
MfG Sabina

rund um die PC-Sicherheit

#66 Achja, die beiden die du noch im Nachhinein angegeben hast kann ich nicht mehr scannen weil sie mittlerweile verschwunden sind. Wahrscheinlich im Zuge des lokalen Scans mit combofix.
gemeint sind:

C:\WINDOWS\system32\DomainHelper.dll
C:\WINDOWS\system32\zirf2d63.dll

=============================================

Complete scanning result of "ipv6monl.dll", received in VirusTotal at 11.13.2006, 16:23:45 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.13.2006 HEUR/Malware
Authentium 4.93.8 11.10.2006 W32/Goldun.gen1
Avast 4.7.892.0 11.13.2006 no virus found
AVG 386 11.12.2006 no virus found
BitDefender 7.2 11.13.2006 Trojan.Spy.Goldun.HO
CAT-QuickHeal 8.00 11.13.2006 no virus found
ClamAV devel-20060426 11.13.2006 Trojan.Bzub-38
DrWeb 4.33 11.13.2006 no virus found
eTrust-InoculateIT 23.73.53 11.13.2006 no virus found
eTrust-Vet 30.3.3190 11.13.2006 no virus found
Ewido 4.0 11.13.2006 no virus found
Fortinet 2.82.0.0 11.13.2006 suspicious
F-Prot 3.16f 11.10.2006 W32/Goldun.gen1
F-Prot4 4.2.1.29 11.10.2006 W32/Goldun.gen1
Ikarus 0.2.65.0 11.13.2006 no virus found
Kaspersky 4.0.2.24 11.13.2006 no virus found
McAfee 4893 11.10.2006 Generic PWS.q
Microsoft 1.1609 11.13.2006 PWS:Win32/Cimuz.gen
NOD32v2 1863 11.13.2006 no virus found
Norman 5.80.02 11.13.2006 W32/Goldun.gen1
Panda 9.0.0.4 11.12.2006 Suspicious file
Sophos 4.11.0 11.07.2006 Troj/Cimuz-Gen
TheHacker 6.0.1.117 11.12.2006 no virus found
UNA 1.83 11.13.2006 no virus found
VBA32 3.11.1 11.13.2006 suspected of Malware.Agent.4
VirusBuster 4.3.15:9 11.13.2006 TrojanSpy.Agent.BD.Gen

Aditional Information
File size: 70872 bytes
MD5: 81e46750748e7296a2d0a60dc494befb
SHA1: 7ad8aa96a36cff487a932d3dd897676d434b121a
packers: UPX

======================================================

Complete scanning result of "winpfg32.sys", received in VirusTotal at 11.13.2006, 16:26:49 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.13.2006 no virus found
Authentium 4.93.8 11.10.2006 no virus found
Avast 4.7.892.0 11.13.2006 no virus found
AVG 386 11.12.2006 no virus found
BitDefender 7.2 11.13.2006 no virus found
CAT-QuickHeal 8.00 11.13.2006 no virus found
ClamAV devel-20060426 11.13.2006 no virus found
DrWeb 4.33 11.13.2006 no virus found
eTrust-InoculateIT 23.73.53 11.13.2006 no virus found
eTrust-Vet 30.3.3190 11.13.2006 no virus found
Ewido 4.0 11.13.2006 no virus found
Fortinet 2.82.0.0 11.13.2006 no virus found
F-Prot 3.16f 11.10.2006 no virus found
F-Prot4 4.2.1.29 11.10.2006 no virus found
Ikarus 0.2.65.0 11.13.2006 no virus found
Kaspersky 4.0.2.24 11.13.2006 no virus found
McAfee 4893 11.10.2006 no virus found
Microsoft 1.1609 11.13.2006 no virus found
NOD32v2 1863 11.13.2006 no virus found
Norman 5.80.02 11.13.2006 no virus found
Panda 9.0.0.4 11.12.2006 no virus found
Sophos 4.11.0 11.07.2006 no virus found
TheHacker 6.0.1.117 11.12.2006 no virus found
UNA 1.83 11.13.2006 no virus found
VBA32 3.11.1 11.13.2006 no virus found
VirusBuster 4.3.15:9 11.13.2006 no virus found

Aditional Information
File size: 978 bytes
MD5: 919ebe1ac993a9dc142c444f2719376c
SHA1: 08635db6c1a00d2c5b4857a38a3929c69b8d6661

==================================================

Complete scanning result of "dxclib303562752.dll", received in VirusTotal at 11.13.2006, 16:31:40 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.13.2006 ADSPY/SurfSide.AP.4
Authentium 4.93.8 11.10.2006 no virus found
Avast 4.7.892.0 11.13.2006 no virus found
AVG 386 11.12.2006 Adware Generic.RIC
BitDefender 7.2 11.13.2006 Application.AdWare.SurfSide.AP
CAT-QuickHeal 8.00 11.13.2006 no virus found
ClamAV devel-20060426 11.13.2006 no virus found
DrWeb 4.33 11.13.2006 no virus found
eTrust-InoculateIT 23.73.53 11.13.2006 no virus found
eTrust-Vet 30.3.3190 11.13.2006 no virus found
Ewido 4.0 11.13.2006 Adware.SurfSide
Fortinet 2.82.0.0 11.13.2006 Adware/SurfSide
F-Prot 3.16f 11.10.2006 no virus found
F-Prot4 4.2.1.29 11.10.2006 no virus found
Ikarus 0.2.65.0 11.13.2006 no virus found
Kaspersky 4.0.2.24 11.13.2006 not-a-virus:AdWare.Win32.SurfSide.ap
McAfee 4893 11.10.2006 potentially unwanted program Adware-SurfSideKick
Microsoft 1.1609 11.13.2006 no virus found
NOD32v2 1863 11.13.2006 no virus found
Norman 5.80.02 11.13.2006 W32/SurfSide.EW
Panda 9.0.0.4 11.12.2006 Adware/DeluxeComunications
Sophos 4.11.0 11.07.2006 SurfSideKick
TheHacker 6.0.1.117 11.12.2006 no virus found
UNA 1.83 11.13.2006 Adware.SurfSide.BD3B
VBA32 3.11.1 11.13.2006 AdWare.Win32.SurfSide.ap
VirusBuster 4.3.15:9 11.13.2006 no virus found

Aditional Information
File size: 96768 bytes
MD5: c84a603cf55a49dc4c4be65a534a8dd5
SHA1: b93333b82d365d52288b26ea4fc9b68876c4eef4

===================================================

Complete scanning result of "wunauclt.exe", received in VirusTotal at 11.13.2006, 16:35:09 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.13.2006 no virus found
Authentium 4.93.8 11.10.2006 no virus found
Avast 4.7.892.0 11.13.2006 no virus found
AVG 386 11.13.2006 no virus found
BitDefender 7.2 11.13.2006 no virus found
CAT-QuickHeal 8.00 11.13.2006 no virus found
ClamAV devel-20060426 11.13.2006 no virus found
DrWeb 4.33 11.13.2006 no virus found
eTrust-InoculateIT 23.73.53 11.13.2006 no virus found
eTrust-Vet 30.3.3190 11.13.2006 no virus found
Ewido 4.0 11.13.2006 no virus found
Fortinet 2.82.0.0 11.13.2006 no virus found
F-Prot 3.16f 11.10.2006 no virus found
F-Prot4 4.2.1.29 11.10.2006 no virus found
Ikarus 0.2.65.0 11.13.2006 no virus found
Kaspersky 4.0.2.24 11.13.2006 no virus found
McAfee 4893 11.10.2006 no virus found
Microsoft 1.1609 11.13.2006 no virus found
NOD32v2 1863 11.13.2006 no virus found
Norman 5.80.02 11.13.2006 no virus found
Panda 9.0.0.4 11.12.2006 no virus found
Sophos 4.11.0 11.07.2006 no virus found
TheHacker 6.0.1.117 11.12.2006 no virus found
UNA 1.83 11.13.2006 no virus found
VBA32 3.11.1 11.13.2006 no virus found
VirusBuster 4.3.15:9 11.13.2006 no virus found

Aditional Information
File size: 424136 bytes
MD5: df5f260dde744cd6776b059d28624ef1
SHA1: bc247f454ee353f3c1a3276faac11880dace2cb9
packers: BINARYRES, SETUP FACTORY

=========================================

Complete scanning result of "npptNT2.sys", received in VirusTotal at 11.13.2006, 16:39:57 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.13.2006 no virus found
Authentium 4.93.8 11.10.2006 no virus found
Avast 4.7.892.0 11.13.2006 no virus found
AVG 386 11.13.2006 no virus found
BitDefender 7.2 11.13.2006 no virus found
CAT-QuickHeal 8.00 11.13.2006 no virus found
ClamAV devel-20060426 11.13.2006 no virus found
DrWeb 4.33 11.13.2006 no virus found
eTrust-InoculateIT 23.73.53 11.13.2006 no virus found
eTrust-Vet 30.3.3190 11.13.2006 no virus found
Ewido 4.0 11.13.2006 no virus found
Fortinet 2.82.0.0 11.13.2006 no virus found
F-Prot 3.16f 11.10.2006 no virus found
F-Prot4 4.2.1.29 11.10.2006 no virus found
Ikarus 0.2.65.0 11.13.2006 no virus found
Kaspersky 4.0.2.24 11.13.2006 no virus found
McAfee 4893 11.10.2006 no virus found
Microsoft 1.1609 11.13.2006 no virus found
NOD32v2 1863 11.13.2006 no virus found
Norman 5.80.02 11.13.2006 no virus found
Panda 9.0.0.4 11.12.2006 no virus found
Sophos 4.11.0 11.07.2006 no virus found
TheHacker 6.0.1.117 11.12.2006 no virus found
UNA 1.83 11.13.2006 no virus found
VBA32 3.11.1 11.13.2006 no virus found
VirusBuster 4.3.15:9 11.13.2006 no virus found

Aditional Information
File size: 4682 bytes
MD5: 9131fe60adfab595c8da53ad6a06aa31
SHA1: 2011c23d7927e42647c17f4c0f77dc308d447e6d

=============================================

Complete scanning result of "PI.EXE", received in VirusTotal at 11.13.2006, 16:49:40 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.13.2006 no virus found
Authentium 4.93.8 11.10.2006 no virus found
Avast 4.7.892.0 11.13.2006 no virus found
AVG 386 11.13.2006 no virus found
BitDefender 7.2 11.13.2006 no virus found
CAT-QuickHeal 8.00 11.13.2006 no virus found
ClamAV devel-20060426 11.13.2006 no virus found
DrWeb 4.33 11.13.2006 no virus found
eTrust-InoculateIT 23.73.53 11.13.2006 no virus found
eTrust-Vet 30.3.3190 11.13.2006 no virus found
Ewido 4.0 11.13.2006 no virus found
Fortinet 2.82.0.0 11.13.2006 no virus found
F-Prot 3.16f 11.10.2006 no virus found
F-Prot4 4.2.1.29 11.10.2006 no virus found
Ikarus 0.2.65.0 11.13.2006 no virus found
Kaspersky 4.0.2.24 11.13.2006 no virus found
McAfee 4893 11.10.2006 no virus found
Microsoft 1.1609 11.13.2006 no virus found
NOD32v2 1863 11.13.2006 no virus found
Norman 5.80.02 11.13.2006 no virus found
Panda 9.0.0.4 11.12.2006 no virus found
Sophos 4.11.0 11.07.2006 no virus found
TheHacker 6.0.1.117 11.12.2006 no virus found
UNA 1.83 11.13.2006 no virus found
VBA32 3.11.1 11.13.2006 no virus found
VirusBuster 4.3.15:9 11.13.2006 no virus found

Aditional Information
File size: 183040 bytes
MD5: 18e7956cdb2c7793c487e1ec990fbb79
SHA1: ff5e7a213783d602a9c7ccb253f864aa1f428199

============================================

#67 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Files to delete:
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\system32\ipv6monl.dll
C:\WINDOWS\system32\ldinfo.ldr
C:\WINDOWS\system32\winpfg32.sys
C:\WINDOWS\system32\click-005.ico
C:\WINDOWS\system32\dxclib303562752.dll
C:\WINDOWS\system32\zirf2d63.sys
C:\WINDOWS\system32\DomainHelper.dll
C:\WINDOWS\system32\zirf2d63.dll

Folders to delete:
c:\windows\bm9tYW5l

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
AVG Anti-Rootkit 1.0.0.13 Beta
http://www.freewarefiles.com/program_9_90_22524.html

»»
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#68 Puh... das dauert vieleicht. Sehr schön, da denkt man mit dem MediaPlayerClassic macht man alles richtig und dann erkennt Kaspersky einen Dropper

Hier mal die Logs. Einmal Kaspersky mit Systemscan und einmal Arbeitsplatz

Arbeitsplatz
=============================

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 13. November 2006 21:52:09
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 13/11/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 227440
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Arbeitsplatz
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 365125
Viren gefunden 4
Infizierte Objekte gefunden 12 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 02:30:00

Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\nomane\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\nomane\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\nomane\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\nomane\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\nomane\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\nomane\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006111320061114\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\nomane\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\nomane\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2006-11-13.18-54-36.log Das Objekt ist gesperrt übersprungen
C:\Programme\eMule\Incoming/irsetup.dat Infizierte Objekte: Trojan-Dropper.Win32.Peerad.a übersprungen
C:\Programme\eMule\Incoming SetupFactory: infiziert - 1 übersprungen
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll Infizierte Objekte: Trojan-PSW.Win32.Sinowal.bh übersprungen
C:\Programme\WM Player classic 6.4.9\mplayerc.exe Infizierte Objekte: Trojan-Dropper.Win32.Delf.abg übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edbtmp.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd2429.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{3666353D-F048-4A7A-9C48-6748C190F3E6}\RP366\A0083670.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.xp übersprungen
D:\System Volume Information\_restore{3666353D-F048-4A7A-9C48-6748C190F3E6}\RP366\A0083673.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.xp übersprungen
D:\System Volume Information\_restore{3666353D-F048-4A7A-9C48-6748C190F3E6}\RP366\A0083680.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.xp übersprungen
D:\System Volume Information\_restore{3666353D-F048-4A7A-9C48-6748C190F3E6}\RP366\A0083714.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.xp übersprungen
D:\System Volume Information\_restore{50014032-9926-4DDB-9788-36CA06141998}\RP156\change.log Das Objekt ist gesperrt übersprungen
E:\Programme\Video\Media Player Classic 6.4.9.0.rar/mplayerc.exe Infizierte Objekte: Trojan-Dropper.Win32.Delf.abg übersprungen
E:\Programme\Video\Media Player Classic 6.4.9.0.rar RAR: infiziert - 1 übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\_restore{50014032-9926-4DDB-9788-36CA06141998}\RP156\change.log Das Objekt ist gesperrt übersprungen
I:\E\Programme\Video\Media Player Classic 6.4.9.0.rar/mplayerc.exe Infizierte Objekte: Trojan-Dropper.Win32.Delf.abg übersprungen
I:\E\Programme\Video\Media Player Classic 6.4.9.0.rar RAR: infiziert - 1 übersprungen
I:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
I:\System Volume Information\_restore{50014032-9926-4DDB-9788-36CA06141998}\RP156\change.log Das Objekt ist gesperrt übersprungen

System
=================================================

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 13. November 2006 19:21:00
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 13/11/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 227440
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Kritische Objekte
C:\WINDOWS
C:\DOKUME~1\nomane\LOKALE~1\Temp\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 11662
Viren gefunden 0
Infizierte Objekte gefunden 0 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 00:08:17

Name des infizierten Objekts Virusname Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edbtmp.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd2429.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

#69 ««
loesche unter E:\ (I:\)
E:\Programme\Video\Media Player Classic 6.4.9.0.rar
I:\E\Programme\Video\Media Player Classic 6.4.9.0.rar

««
Avenger

Zitat

Files to delete:
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
c:\windows\system32\mscache.sys

Folders to delete:
C:\Programme\WM Player classic 6.4.9

««
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

««
scane und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#70 Ich hab zusätzlich um die Zeit zu überbrücken Panda Online benutzt, und der hat mir noch folgende 2 Einträge ausgegeben, falls dir das was sagt:

Incident Status Location

Adware:adware/ist.istbar Not disinfected c:\windows\system32\mscache.sys
Adware:adware/searchexe Not disinfected Windows Registry

===============

Den DrWeb Test mach ich jetzt gleich noch

#71 ich habe die sys noch mit in den Avenger kopiert - wende also den avenger an

«

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#72 Nachträglich hinzugefügt:
>>
c:\windows\system32\mscache.sys lässt sich leider nicht löschen mit dem Avenger. Er verhällt sich nach dem Hochfahren auch sehr merkwürdig. Anders als sonst.

Normalerweise bekomm ich den Windows LAdebalken, danach den Anmelde-Bereich und dann (nach passworteingabe) dauerts etwas bis der Desktop da ist, läßt sich aber sofort benutzen.

Jedesmal wenn ich allerdings versuche die mscache.sys mit Avenger zu vernichten, und zwar nur dann, kommt anstatt desWindows-Ladebildschrims für kurze Zeit der Bildschrim, der auch kommt, wenn Scandisk eine überprüfung nach dem Neustart vornimmt. Das ist aber nur ein Bruchteil einer Sekunde, danach kommt der Anmeldebereich und dann nach anmeldung SEHR schnell der Desktop. Dann allerdings bleibt er 40 Sekunden hängen und Avenger schreibt eine leere avenger.txt
<<

Ok, also ServiceFilter hat folgendes rausbekommen:

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Nov 14, 2006 01:27:45


---> Begin Service Listing <---

Unknown Service # 1
Service Name: Adobe LM Service
Display Name: Adobe LM Service
Start Mode: Manual
Start Name: LocalSystem
Description: AdobeLM ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 2
Service Name: AntiVirScheduler
Display Name: AntiVir PersonalEdition Classic Planer
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 1232
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 3
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Guard
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet permanente Schutz vor Viren und Malware mit der AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 1244
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #4
Service Name: aspnet_state
Display Name: ASP.NET State Service
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 5
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Manual
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 6
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\installshield\driver\1050\intel 32\idrivert.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 7
Service Name: O&O Defrag
Display Name: O&O Defrag
Start Mode: Auto
Start Name: LocalSystem
Description: O&O Defragmentation ...
Service Type: Own Process
Path: c:\windows\system32\oodag.exe
State: Running
Process ID: 1308
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service #8
Service Name: ose
Display Name: Office Source Engine
Start Mode: Manual
Start Name: LocalSystem
Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: StarWindService
Display Name: StarWind iSCSI Service
Start Mode: Auto
Start Name: LocalSystem
Description: Enables network access to local devices via iSCSI ...
Service Type: Own Process
Path: c:\programme\alcohol soft\alcohol 120\starwind\starwindservice.exe
State: Running
Process ID: 1408
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #10
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{2154555f-835f-4033-adc5-d7ec6f9b851a}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 11
Service Name: WUVQTRU
Display Name: WUVQTRU
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\dokume~1\nomane\lokale~1\temp\wuvqtru.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

==============================================

Und hier die Ergebnisse von Dr.Web:

ISSetup.dll;C:\Programme\InstallShield Installation Information\{4E074808-1B86-4230-A9EB-0904942EC4AE};möglicherweise DLOADER.Trojan;;
mirc.exe;C:\Programme\mIRC;Program.mIRC.60;;
A0083672.exe;D:\System Volume Information\_restore{3666353D-F048-4A7A-9C48-6748C190F3E6}\RP366;Adware.Winad;;
A0083682.exe;D:\System Volume Information\_restore{3666353D-F048-4A7A-9C48-6748C190F3E6}\RP366;Adware.Winad;;

Merkwürdig das mit den restore-punkten, obwohl die systemwiederherstellung ja wie du gesagt hast mittlerweile abgeschaltet ist. Ich hab versucht die noch in das Avenger-Script hinzuzufügen, dann gibt er allerdings eine Errormeldung aus und sagt er könne das Script nicht erstellen...

#73 wende das an (poste es als Anhang - siehe unten)
http://virus-protect.org/completbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#74 DC.txt

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C13-DAED

Verzeichnis von C:\

02.08.2006 11:29 0 AUTOEXEC.BAT
14.11.2006 05:51 3.518 avenger.txt
02.08.2006 11:25 211 boot.ini
18.08.2001 13:00 4.952 bootfont.bin
14.11.2006 06:00 15.050 ComboFix.txt
08.02.2006 13:14 941 complet.bat
02.08.2006 11:29 0 CONFIG.SYS
14.11.2006 14:29 0 DC.txt
07.10.2006 02:07 2.372 filelist.bat
02.08.2006 11:29 0 IO.SYS
02.08.2006 11:29 0 MSDOS.SYS
03.08.2004 22:38 47.564 NTDETECT.COM
03.08.2004 22:59 251.184 ntldr
14.11.2006 14:20 1.610.612.736 pagefile.sys
14 Datei(en) 1.610.938.528 Bytes
0 Verzeichnis(se), 32.939.118.592 Bytes frei

DP.txt

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C13-DAED

Verzeichnis von C:\Programme

OC.txt

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C13-DAED

Verzeichnis von C:\

14.11.2006 05:52 <DIR> avenger
12.11.2006 23:03 <DIR> Dokumente und Einstellungen
12.11.2006 20:01 <DIR> NVIDIA
14.11.2006 06:01 <DIR> Programme
02.08.2006 11:34 <DIR> RECYCLER
12.11.2006 23:38 <DIR> spiele
14.11.2006 00:00 <DIR> System Volume Information
02.08.2006 20:39 <DIR> vuescan
14.11.2006 14:21 <DIR> WINDOWS
0 Datei(en) 0 Bytes
9 Verzeichnis(se), 32.939.102.208 Bytes frei

DSYS32.txt (gekürzt auf alles nach 2006)

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C13-DAED

Verzeichnis von C:\WINDOWS\system32

14.11.2006 14:21 88.946 nvapps.xml
14.11.2006 14:20 41.613 OODBS.lor
14.11.2006 02:14 2.206 wpa.dbl
14.11.2006 02:11 394.474 perfh009.dat
14.11.2006 02:11 408.670 perfh007.dat
14.11.2006 02:11 60.190 perfc009.dat
14.11.2006 02:11 72.702 perfc007.dat
14.11.2006 02:11 908.662 PerfStringBackup.INI
13.11.2006 22:26 0 asfiles.txt
13.11.2006 22:25 2.550 Uninstall.ico
13.11.2006 22:25 1.406 Help.ico
13.11.2006 22:25 30.590 pavas.ico
13.11.2006 15:04 8.994.656 CSD
12.11.2006 20:10 145 info.txt
11.11.2006 15:45 98.304 CmdLineExt.dll
08.11.2006 04:25 185.016 FNTCACHE.DAT
22.10.2006 12:22 327.680 nvwrsfr.dll
22.10.2006 12:22 425.984 keystone.exe
22.10.2006 12:22 278.528 nvwrshe.dll
22.10.2006 12:22 315.392 nvwrshu.dll
22.10.2006 12:22 4.527.488 nv4_disp.dll
22.10.2006 12:22 212.992 nvapi.dll
22.10.2006 12:22 442.368 nvappbar.exe
22.10.2006 12:22 81.920 nvwddi.dll
22.10.2006 12:22 35.840 nvcod.dll
22.10.2006 12:22 35.840 nvcodins.dll
22.10.2006 12:22 147.456 nvcolor.exe
22.10.2006 12:22 1.662.976 nvwdmcpl.dll
22.10.2006 12:22 69.632 nvcpl.cpl
22.10.2006 12:22 7.700.480 nvcpl.dll
22.10.2006 12:22 794.624 nvcplui.exe
22.10.2006 12:22 1.011.712 nvcpluir.dll
22.10.2006 12:22 17.056 nvdisp.nvu
22.10.2006 12:22 5.619.712 nvdisps.dll
22.10.2006 12:22 5.255.168 nvdispsr.dll
22.10.2006 12:22 1.339.392 nvdspsch.exe
22.10.2006 12:22 311.296 nvexpbar.dll
22.10.2006 12:22 3.047.424 nvgames.dll
22.10.2006 12:22 3.203.072 nvgamesr.dll
22.10.2006 12:22 581.632 nvhwvid.dll
22.10.2006 12:22 1.470.464 nview.dll
22.10.2006 12:22 229.376 nvmccs.dll
22.10.2006 12:22 1.019.904 nvwimg.dll
22.10.2006 12:22 45.056 nvmccsrs.dll
22.10.2006 12:22 282.624 nvwrsar.dll
22.10.2006 12:22 2.973.696 nvvitvsr.dll
22.10.2006 12:22 458.752 nvmccssr.dll
22.10.2006 12:22 86.016 nvmctray.dll
22.10.2006 12:22 327.680 nvwrsesm.dll
22.10.2006 12:22 888.832 nvmobls.dll
22.10.2006 12:22 2.859.008 nvmoblsr.dll
22.10.2006 12:22 286.720 nvnt4cpl.dll
22.10.2006 12:22 5.644.288 nvoglnt.dll
22.10.2006 12:22 323.584 nvrsar.dll
22.10.2006 12:22 323.584 nvwrsit.dll
22.10.2006 12:22 241.664 nvrscs.dll
22.10.2006 12:22 2.924.544 nvvitvs.dll
22.10.2006 12:22 245.760 nvrsda.dll
22.10.2006 12:22 270.336 nvrsde.dll
22.10.2006 12:22 212.992 nvwrsja.dll
22.10.2006 12:22 274.432 nvrsel.dll
22.10.2006 12:22 241.664 nvrseng.dll
22.10.2006 12:22 274.432 nvrses.dll
22.10.2006 12:22 266.240 nvrsesm.dll
22.10.2006 12:22 241.664 nvrsfi.dll
22.10.2006 12:22 278.528 nvrsfr.dll
22.10.2006 12:22 303.104 nvwrsfi.dll
22.10.2006 12:22 323.584 nvrshe.dll
22.10.2006 12:22 253.952 nvrshu.dll
22.10.2006 12:22 274.432 nvrsit.dll
22.10.2006 12:22 262.144 nvrsja.dll
22.10.2006 12:22 258.048 nvrsko.dll
22.10.2006 12:22 266.240 nvrsnl.dll
22.10.2006 12:22 196.608 nvwrsko.dll
22.10.2006 12:22 249.856 nvrspl.dll
22.10.2006 12:22 266.240 nvrspt.dll
22.10.2006 12:22 319.488 nvwrsnl.dll
22.10.2006 12:22 262.144 nvrsptb.dll
22.10.2006 12:22 262.144 nvrsru.dll
22.10.2006 12:22 249.856 nvrssk.dll
22.10.2006 12:22 299.008 nvwrsno.dll
22.10.2006 12:22 249.856 nvrssl.dll
22.10.2006 12:22 245.760 nvrssv.dll
22.10.2006 12:22 335.872 nvwrses.dll
22.10.2006 12:22 286.720 nvwrseng.dll
22.10.2006 12:22 335.872 nvwrsel.dll
22.10.2006 12:22 311.296 nvwrsde.dll
22.10.2006 12:22 294.912 nvwrsda.dll
22.10.2006 12:22 188.416 nvmccss.dll
22.10.2006 12:22 294.912 nvwrspl.dll
22.10.2006 12:22 323.584 nvwrspt.dll
22.10.2006 12:22 319.488 nvwrsptb.dll
22.10.2006 12:22 315.392 nvwrsru.dll
22.10.2006 12:22 299.008 nvwrssk.dll
22.10.2006 12:22 249.856 nvrsno.dll
22.10.2006 12:22 249.856 nvrstr.dll
22.10.2006 12:22 221.184 nvrszhc.dll
22.10.2006 12:22 118.784 nvrszht.dll
22.10.2006 12:22 303.104 nvwrssl.dll
22.10.2006 12:22 466.944 nvshell.dll
22.10.2006 12:22 1.622.016 nwiz.exe
22.10.2006 12:22 159.810 nvsvc32.exe
22.10.2006 12:22 1.732.608 nvwssr.dll
22.10.2006 12:22 1.236.992 nvwss.dll
22.10.2006 12:22 167.936 nvwrszht.dll
22.10.2006 12:22 73.728 nvtuicpl.cpl
22.10.2006 12:22 163.840 nvwrszhc.dll
22.10.2006 12:22 303.104 nvwrstr.dll
22.10.2006 12:22 294.912 nvwrssv.dll
22.10.2006 12:22 286.720 nvwrscs.dll
11.10.2006 17:24 104.960 p2pgasvc.dll
11.10.2006 17:24 313.344 p2pgraph.dll
11.10.2006 17:24 116.224 p2pnetsh.dll
11.10.2006 17:24 553.984 p2psvc.dll
11.10.2006 17:24 58.880 pnrpnsp.dll
11.10.2006 17:24 153.088 p2p.dll
07.10.2006 21:44 424.136 wunauclt.exe
04.10.2006 13:03 9.639.336 MRT.exe
26.09.2006 10:04 123.392 xpsp3res.dll
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 07:12 1.494.016 shdocvw.dll
25.08.2006 16:46 617.472 comctl32.dll
24.08.2006 10:17 8.833 jupdate-1.5.0_08-b03.log
23.08.2006 11:33 547 ff_vfw.dll.manifest
23.08.2006 11:33 6.144 ff_vfw.dll
23.08.2006 11:33 7.680 ff_acm.acm
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
16.08.2006 12:58 100.352 6to4svc.dll
14.08.2006 19:20 5 SndDrv32ds_d.ods
14.08.2006 19:20 5 AuxDrv32ds_d.ods
04.08.2006 11:05 592.402 x264vfw.dll
02.08.2006 16:03 36.734 OggDSuninst.exe
02.08.2006 12:54 6.948 jupdate-1.5.0_06-b05.log
02.08.2006 12:25 0 h323log.txt
02.08.2006 11:39 73.728 asuninst.exe
02.08.2006 11:31 386 $winnt$.inf
02.08.2006 11:29 2.951 CONFIG.NT
02.08.2006 11:29 23.392 nscompat.tlb
02.08.2006 11:29 16.832 amcompat.tlb
02.08.2006 11:28 488 WindowsLogon.manifest
02.08.2006 11:28 488 logonui.exe.manifest
02.08.2006 11:28 749 wuaucpl.cpl.manifest
02.08.2006 11:28 749 nwc.cpl.manifest
02.08.2006 11:28 749 sapi.cpl.manifest
02.08.2006 11:28 749 cdplayer.exe.manifest
02.08.2006 11:28 749 ncpa.cpl.manifest
02.08.2006 11:26 21.740 emptyregdb.dat
31.07.2006 09:06 61.440 mtProgressBar2.ocx
28.07.2006 12:28 3.075.072 mshtml.dll
28.07.2006 08:30 236.824 xactengine2_3.dll
28.07.2006 08:30 62.744 xinput1_2.dll
27.07.2006 14:25 679.424 inetcomm.dll
26.07.2006 02:03 127.078 javaws.exe
26.07.2006 02:03 49.265 jpicpl32.cpl
26.07.2006 00:26 53.346 javaw.exe
26.07.2006 00:25 49.248 java.exe
25.07.2006 21:33 615.936 urlmon.dll
21.07.2006 09:29 72.704 hlink.dll
14.07.2006 16:38 332.288 netapi32.dll
14.07.2006 16:25 546.304 hhctrl.ocx
13.07.2006 14:34 8.494.592 shell32.dll
05.07.2006 11:55 1.057.792 kernel32.dll
27.06.2006 04:40 571.184 LegitCheckControl.dll
27.06.2006 04:40 12.800 WgaTray.exe
27.06.2006 04:40 3.584 WgaLogon.dll
26.06.2006 18:40 148.480 dnsapi.dll
26.06.2006 18:40 8.192 rasadhlp.dll
23.06.2006 12:10 664.576 wininet.dll
23.06.2006 12:10 39.424 pngfilt.dll
23.06.2006 12:10 146.432 msrating.dll
23.06.2006 12:10 474.624 shlwapi.dll
23.06.2006 12:10 448.512 mshtmled.dll
23.06.2006 12:10 532.480 mstime.dll
23.06.2006 12:10 1.022.976 browseui.dll
23.06.2006 12:10 357.888 dxtmsft.dll
23.06.2006 12:10 205.312 dxtrans.dll
23.06.2006 12:10 152.064 cdfview.dll
23.06.2006 12:10 16.384 jsproxy.dll
23.06.2006 12:10 1.056.256 danim.dll
23.06.2006 12:10 96.768 inseng.dll
23.06.2006 12:10 55.808 extmgr.dll
23.06.2006 12:10 251.392 iepeers.dll
22.06.2006 11:47 181.248 rasmans.dll
22.06.2006 06:06 1.441.792 query.dll
22.06.2006 06:06 69.120 ciodm.dll
02.06.2006 10:04 57.384 avsda.dll
01.06.2006 19:47 27.648 jgpl400.dll
01.06.2006 19:47 163.840 jgdw400.dll
01.06.2006 18:09 208.896 NVUNINST.EXE
01.06.2006 16:22 208.896 nvudisp.exe
31.05.2006 07:24 230.168 xactengine2_2.dll
19.05.2006 14:09 112.128 dhcpcsvc.dll
19.05.2006 14:09 95.744 iphlpapi.dll
18.05.2006 06:36 450.560 jscript.dll
17.05.2006 13:01 1.060.864 mfc71.dll
16.05.2006 21:23 339.968 pxwave.dll
16.05.2006 21:23 28.672 vxblock.dll
16.05.2006 21:23 176.128 pxmas.dll
16.05.2006 21:23 56.832 pxinsa64.exe
16.05.2006 21:23 430.080 px.dll
16.05.2006 21:23 57.344 pxcpya64.exe
16.05.2006 21:23 450.560 pxdrv.dll
16.05.2006 21:23 1.257.472 pxsfs.dll
16.05.2006 21:23 61.440 pxhpinst.exe
04.05.2006 16:35 65.536 QuickTimeVR.qtx
04.05.2006 16:35 49.152 QuickTime.qts
24.04.2006 14:40 4.730.880 wmp.dll
21.04.2006 14:23 497.472 XceedZip.dll
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
31.03.2006 12:40 2.388.176 d3dx9_30.dll
31.03.2006 12:39 229.584 xactengine2_1.dll
31.03.2006 12:39 62.672 xinput1_1.dll
24.03.2006 05:37 49.152 wdigest.dll
17.03.2006 01:38 28.672 verclsid.exe
01.03.2006 20:43 956.416 msdtctm.dll
01.03.2006 20:43 426.496 msdtcprx.dll
01.03.2006 20:43 91.136 mtxoci.dll
01.03.2006 20:43 66.560 mtxclu.dll
01.03.2006 20:43 161.280 msdtcuiu.dll
01.03.2006 20:43 11.776 xolehlp.dll
08.02.2006 12:00 430.080 fldrvw71.ocx
03.02.2006 08:43 2.332.368 d3dx9_29.dll
03.02.2006 08:42 230.096 xactengine2_0.dll
03.02.2006 08:41 14.032 x3daudio1_0.dll
28.01.2006 01:55 176.167 rmoc3260.dll
04.01.2006 04:35 68.096 webclnt.dll

DSYStemp.txt

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C13-DAED

Verzeichnis von C:\DOKUME~1\nomane\LOKALE~1\Temp

DW.txt

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C13-DAED

Verzeichnis von C:\WINDOWS

14.11.2006 14:21 0 0.log
14.11.2006 14:21 159 wiadebug.log
14.11.2006 14:21 50 wiaservc.log
14.11.2006 14:20 2.048 bootstat.dat
14.11.2006 06:20 32.580 SchedLgU.Txt
14.11.2006 06:20 116.308 WindowsUpdate.log
14.11.2006 05:24 250 gmer.ini
14.11.2006 02:28 653 win.ini
14.11.2006 02:15 33.852 tsoc.log
14.11.2006 02:15 3.732 tabletoc.log
14.11.2006 02:15 8.169 updspapi.log
14.11.2006 02:15 1.393 imsins.BAK
13.11.2006 22:26 32 pavsig.txt
13.11.2006 15:14 80 gmer_uninstall.cmd
13.11.2006 15:14 565.311 gmer.dll
11.11.2006 01:59 116 NeroDigital.ini
07.11.2006 09:14 569.344 gmer.exe
29.09.2006 20:51 4.814 mozver.dat
29.09.2006 20:44 333 wininit.ini
06.09.2006 12:06 400 ODBC.INI
05.08.2006 10:51 286.720 iun507.exe
02.08.2006 13:56 316.640 WMSysPr9.prx
02.08.2006 13:48 83 CDPLAYER.INI
02.08.2006 12:21 0 Sti_Trace.log
02.08.2006 12:19 231 system.ini
02.08.2006 11:56 0 nsreg.dat
02.08.2006 11:32 8.192 REGLOCS.OLD
02.08.2006 11:29 0 control.ini
02.08.2006 11:29 4.161 ODBCINST.INI
02.08.2006 11:28 749 WindowsShell.Manifest
02.08.2006 11:26 37 vbaddin.ini
02.08.2006 11:26 36 vb.ini
04.05.2006 09:00 96.768 msspr.exe
27.05.2005 00:22 10.752 hh.exe
04.08.2004 00:58 288.768 winhlp32.exe
04.08.2004 00:58 153.600 regedit.exe
04.08.2004 00:58 70.144 NOTEPAD.EXE
04.08.2004 00:57 1.035.264 explorer.exe
04.08.2004 00:57 50.688 twain_32.dll
29.03.2004 15:23 90.112 unvise32.exe
12.05.2003 15:47 306.688 IsUninst.exe
30.01.2003 18:48 3.691 hphinfs.dat
30.01.2003 17:49 36.864 hpfsched.exe
11.12.2001 13:16 629 mp3out.inf
18.08.2001 13:00 18.944 vmmreg32.dll
18.08.2001 13:00 94.800 twain.dll
18.08.2001 13:00 15.872 TASKMAN.EXE
18.08.2001 13:00 49.680 twunk_16.exe
18.08.2001 13:00 82.944 clock.avi
18.08.2001 13:00 25.600 twunk_32.exe
18.08.2001 13:00 80 explorer.scf
18.08.2001 13:00 257.568 winhelp.exe
18.08.2001 13:00 1.405 msdfmap.ini
18.08.2001 13:00 2 desktop.ini
18.08.2001 13:00 48.680 winnt.bmp
18.08.2001 13:00 48.680 winnt256.bmp
18.08.2001 13:00 34.818 wmprfDEU.prx
18.08.2001 13:00 707 _default.pif
11.11.1997 06:00 183.040 PI.EXE
59 Datei(en) 4.963.261 Bytes
0 Verzeichnis(se), 32.939.094.016 Bytes frei

OP.txt

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C13-DAED

Verzeichnis von C:\Programme

14.11.2006 06:01 <DIR> .
14.11.2006 06:01 <DIR> ..
13.11.2006 22:27 <DIR> 7-Zip
02.08.2006 13:12 <DIR> ACD
02.08.2006 19:50 <DIR> Adobe
14.08.2006 19:24 <DIR> Ahead
20.09.2006 04:05 <DIR> Alcohol Soft
03.08.2006 12:05 <DIR> AllSync
13.11.2006 22:28 <DIR> AntiVir PersonalEdition Classic
11.10.2006 16:14 <DIR> ArtMoney
02.09.2006 12:19 <DIR> Azureus
13.11.2006 01:38 <DIR> CCleaner
12.11.2006 21:49 <DIR> CleanUp!
02.08.2006 21:28 <DIR> ColorVision
13.11.2006 22:28 <DIR> DAEMON Tools
03.08.2006 01:07 <DIR> Distinct
05.08.2006 20:58 <DIR> DivX
06.09.2006 12:34 <DIR> dualis 20.3 (nds emu)
03.08.2006 12:37 <DIR> DVD Shrink
13.11.2006 22:26 <DIR> Easy CD-DA Extractor 9
14.11.2006 02:50 <DIR> eMule
08.10.2006 23:07 <DIR> ffdshow
05.08.2006 12:47 <DIR> Flash Renamer 4.62
13.11.2006 22:28 <DIR> FlashGet
05.08.2006 10:52 <DIR> Fraunhofer MP3 Codec Pro
03.10.2006 18:21 <DIR> Garmin
16.10.2006 21:03 <DIR> Gemeinsame Dateien
02.08.2006 12:57 <DIR> GMX
01.10.2006 21:44 <DIR> Google
16.08.2006 22:38 <DIR> hp photosmart
14.11.2006 01:48 <DIR> InstallShield Installation Information
13.11.2006 22:30 <DIR> Internet Explorer
24.08.2006 10:17 <DIR> Java
11.10.2006 13:46 <DIR> Macromedia
18.09.2006 01:40 <DIR> MegaSpoof
02.08.2006 12:20 <DIR> Messenger
02.08.2006 11:29 <DIR> microsoft frontpage
06.09.2006 12:05 <DIR> Microsoft Office
06.09.2006 12:03 <DIR> Microsoft.NET
22.10.2006 14:04 <DIR> mIRC
02.08.2006 11:27 <DIR> Movie Maker
14.11.2006 14:21 <DIR> Mozilla Firefox
14.11.2006 14:21 <DIR> Mozilla Thunderbird
02.08.2006 11:26 <DIR> MSN Gaming Zone
02.08.2006 21:07 <DIR> Nero
02.08.2006 11:27 <DIR> NetMeeting
02.08.2006 12:19 <DIR> Nvidia
02.08.2006 15:21 <DIR> OO Software
30.09.2006 02:22 <DIR> Opera
02.08.2006 12:33 <DIR> Outlook Express
19.10.2006 23:12 <DIR> Pegasys Inc
02.08.2006 15:37 <DIR> QuickTime Alternative
27.10.2006 23:45 <DIR> Real Alternative
13.11.2006 18:05 <DIR> RegSupreme Pro
05.08.2006 00:56 <DIR> Sony
13.11.2006 22:32 <DIR> Spybot - Search & Destroy
12.11.2006 20:03 <DIR> SpywareBlaster
02.08.2006 13:19 <DIR> TerraTec
06.08.2006 13:55 <DIR> VIA
06.08.2006 13:32 <DIR> VobSub
05.08.2006 01:03 <DIR> VSTplugins
02.08.2006 14:36 <DIR> WideStep Software
02.08.2006 13:57 <DIR> Winamp
02.08.2006 13:56 <DIR> Windows Media Player
02.08.2006 11:26 <DIR> Windows NT
02.08.2006 12:23 <DIR> WindowsUpdate
13.11.2006 22:32 <DIR> WinRAR
27.08.2006 14:59 <DIR> WinUAE
04.08.2006 11:05 <DIR> x264
02.08.2006 15:31 <DIR> XDCC Catcher
02.08.2006 11:29 <DIR> xerox
14.11.2006 02:40 <DIR> xp-AntiSpy
0 Datei(en) 0 Bytes
72 Verzeichnis(se), 32.939.098.112 Bytes frei

OW.txt

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C13-DAED

Verzeichnis von C:\WINDOWS

14.11.2006 14:21 <DIR> .
14.11.2006 14:21 <DIR> ..
14.11.2006 02:15 <DIR> $hf_mig$
14.11.2006 02:15 <DIR> $NtUninstallKB904942$
14.11.2006 02:09 <DIR> $NtUninstallKB919007$
14.11.2006 02:15 <DIR> $NtUninstallKB920342$
14.11.2006 02:09 <DIR> $NtUninstallKB920685$
14.11.2006 02:09 <DIR> $NtUninstallKB920872$
14.11.2006 02:09 <DIR> $NtUninstallKB922582$
14.11.2006 02:10 <DIR> $NtUninstallKB922819$
14.11.2006 02:10 <DIR> $NtUninstallKB923191$
14.11.2006 02:09 <DIR> $NtUninstallKB923414$
14.11.2006 02:10 <DIR> $NtUninstallKB924191$
14.11.2006 02:10 <DIR> $NtUninstallKB924496$
14.11.2006 02:09 <DIR> $NtUninstallKB925486$
02.08.2006 13:13 <DIR> addins
13.11.2006 22:33 <DIR> AppPatch
14.11.2006 05:37 <DIR> assembly
02.08.2006 13:13 <DIR> Config
02.08.2006 13:13 <DIR> Connection Wizard
02.08.2006 12:14 <DIR> Cursors
14.11.2006 02:10 <DIR> Debug
11.10.2006 13:45 <DIR> Downloaded Installations
13.11.2006 22:33 <DIR> Downloaded Program Files
02.08.2006 13:13 <DIR> Driver Cache
07.11.2006 20:26 <DIR> Fonts
09.09.2006 11:22 <DIR> ftpcache
12.11.2006 20:13 <DIR> Help
02.08.2006 12:24 <DIR> ime
14.11.2006 02:28 <DIR> inf
14.11.2006 02:33 <DIR> Installer
02.08.2006 13:13 <DIR> java
02.08.2006 13:17 <DIR> Media
14.11.2006 05:37 <DIR> Microsoft.NET
13.11.2006 18:07 <DIR> Minidump
02.08.2006 12:45 <DIR> msagent
02.08.2006 13:13 <DIR> msapps
02.08.2006 13:13 <DIR> mui
12.11.2006 20:13 <DIR> nview
02.08.2006 13:13 <DIR> OemDir
02.08.2006 11:28 <DIR> Offline Web Pages
13.11.2006 18:09 <DIR> pchealth
02.08.2006 13:17 <DIR> PeerNet
02.08.2006 20:59 <DIR> PIF
14.11.2006 14:29 <DIR> Prefetch
02.08.2006 13:13 <DIR> Provisioning
02.08.2006 13:56 <DIR> RegisteredPackages
05.08.2006 00:57 <DIR> Registration
02.08.2006 11:29 <DIR> repair
02.08.2006 13:13 <DIR> Resources
02.08.2006 14:01 <DIR> security
06.09.2006 12:05 <DIR> SHELLNEW
02.08.2006 12:26 <DIR> SoftwareDistribution
02.08.2006 11:28 <DIR> srchasst
03.08.2006 16:18 <DIR> Sun
22.10.2006 17:27 <DIR> system
14.11.2006 05:51 <DIR> system32
13.11.2006 01:19 <DIR> Tasks
14.11.2006 14:21 <DIR> Temp
14.11.2006 02:28 <DIR> twain_32
02.08.2006 11:28 <DIR> Web
14.11.2006 02:10 <DIR> WinSxS
0 Datei(en) 0 Bytes
62 Verzeichnis(se), 32.939.089.920 Bytes frei

prefetch.txt

Zitat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C13-DAED

Verzeichnis von C:\WINDOWS\Prefetch

14.11.2006 14:29 15.406 NOTEPAD.EXE-336351A9.pf
14.11.2006 14:29 30.508 CLEANUP.EXE-21B56F2B.pf
2 Datei(en) 45.914 Bytes
0 Verzeichnis(se), 32.938.979.328 Bytes frei

#75 1.
deinstalliere ...scheint ein Dropper mit vorhanden zu sein, laut Kaspersky
C:\Programme\eMule

2.
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\mscache*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint
__________
MfG Sabina

rund um die PC-Sicherheit