steam.exe setzt sich in c:\ fest |
||
---|---|---|
#0
| ||
15.06.2006, 15:07
Member
Beiträge: 15 |
||
|
||
15.06.2006, 15:58
Moderator
Beiträge: 7805 |
#2
Du kannst die Datei ja bei Jotti oder www.virustotal.com/vt pruefen lassen, aber da du immer noch einige aktive ..Bots zu haben scheinst incl. einem nicht geschuetztem System, welches dir immer wieder neue Bots beschaeren wird, solltest du in erwaegung ziehen, dein System neu aufzusetzten, auf jeden Fall alle Passworte wechseln und u.a mit Hilfe von www.dingens.org dein System besser absichern.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.06.2006, 16:42
Member
Themenstarter Beiträge: 15 |
#3
Hallo, vielen Dank erst einmal für die schnelle Antwort!
Jotti hat über steam.exe folgendes zu sagen: File: steam.exe Status: INFECTED/MALWARE MD5 32619c312ff1ea2fed63ccc7d589d0db Packers detected: - Scanner results AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found GenPack:Trojan.Downloader.Adload.BK ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found a variant of Win32/TrojanDownloader.Adload.NAI Norman Virus Control Found nothing UNA Found nothing VirusBuster Found nothing VBA32 Found nothing Dem entnehme ich, dass es sich wirklich um eine Datei handelt, die ich lieber nicht auf dem Rechner hätte. Aber wie bekomme ich sie dauerhaft weg? Die Systemneuaufsetzung als radikalsten Schritt würde ich nach Möglichkeit gern vermeiden wollen. MfG Thymon |
|
|
||
15.06.2006, 17:42
Moderator
Beiträge: 7805 |
#4
Schicke die Datei bitte einmal an virus@protecus.de .
Garantie gebe ich dir keine, ob das gut geht, oder nicht. Besonders, da ich denke, das du den Rechner fuer gewerbliche Zwecke nutzt( Normalsterbliche nutzen selten Sophos). Du solltest folgende Dinge im abgesicherten Modus "fixen" O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe O23 - Service: 61566 - Unknown owner - \\82.82.86.126\Admin$\eraseme_65237.exe (file missing) O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\services.exe Du solltest ebenfalls im abgesicherten Modus Cureit nutzen: http://virus-protect.org/cureit.html Poste bitte den gesamten Report von Cureit und nach einem Neustart auch ein aktuelles Hijackthis log. BTW: Dein Zonealarm ist noch aktiv? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.06.2006, 17:58
Ehrenmitglied
Beiträge: 29434 |
#5
12.06.2006 21:51 79.360 services.exe
sollte auch mal ueberprueft werden dieser Virus erstellt auch einen Dienst, der geloescht werden muss , ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.06.2006, 18:06
Moderator
Beiträge: 7805 |
||
|
||
15.06.2006, 23:08
Member
Themenstarter Beiträge: 15 |
#7
Zitat raman posteteOk, die Datei sollte jetzt bei dir sein. Zitat raman posteteIch benutze ihn nur privat. Ein Freund hat mir Zugangsdaten verraten, um das Sophos, das sie an der Uni benutzen, auch zu benutzen. Zitat raman posteteJa, Zonealarm ist noch aktiv. Dann bemühe ich mich mal, euren Anweisungen Folge zu leisten. Herzlichen Dank für eure Vorschläge! Mfg Thymon Edit: So, nun, drei Stunden später, habe ich wohl alles Verlangte beisammen. Hier erst einmal die Ergebnisse von CureIt: BlackBox.class-73b125b5-1717d56b.class C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file Trojan.ClassLoader Umbenannt. Dummy.class-2bfc9e10-53f14eb8.class C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file Trojan.NoCheat.240 Umbenannt. Dann das aktuelle HijackThis-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 02:14:30, on 16.06.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Sophos\Remote Update\cachemgr.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\services.exe C:\WINNT\system32\svchost.exe C:\WINNT\SOUNDMAN.EXE C:\WINNT\StartupMonitor.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Sophos SWEEP for NT\ICMON.EXE C:\Programme\Sophos\Remote Update\imonitor.exe C:\Programme\ArcorOnline\Arcor.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Programme\ToolBar888\MyToolBar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - Global Startup: InterCheck Monitor.lnk = C:\Programme\Sophos SWEEP for NT\ICMON.EXE O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe O8 - Extra context menu item: &MyToolBar Search - res://C:\Programme\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{593DD3D0-B1EC-4A15-A917-9912E38 AB7CB}: NameServer = 195.50.140.114 195.50.140.252 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\services.exe Und schließlich noch POST-THIS.TXT: The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows 2000 Professional Version: 5.0.2195 Service Pack 4 Jun 16, 2006 02:02:14 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: 61566 Display Name: 61566 Start Mode: Disabled Start Name: LocalSystem Description: 61566... Service Type: Share Process Path: \\82.82.86.126\admin$\eraseme_65237.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 8 Service Name: Network Monitor Display Name: Network Monitor Start Mode: Auto Start Name: LocalSystem Description: Network ... Service Type: Own Process Path: State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 13 Service Name: Windows Spooler Service Display Name: Microsoft Windows Spooler Service Start Mode: Auto Start Name: LocalSystem Description: Microsoft Windows Spooler ... Service Type: Own Process Path: "c:\winnt\services.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 71 Win32 services on this machine. 13 were unrecognized. Script Execution Time: 3,515137 seconds. Bewundernswert, dass es Leute gibt, die mit diesen Informationen etwas anfangen können. Na ja, mir bleibt jetzt einstweilen nur noch, mich wieder für die Mühen zu bedanken, die ihr auf euch nehmt, um mir zu helfen, und allseits eine gute Nacht zu wünschen. MfG Thymon Dieser Beitrag wurde am 16.06.2006 um 02:19 Uhr von Thymon editiert.
|
|
|
||
16.06.2006, 11:05
Ehrenmitglied
Beiträge: 29434 |
#8
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) eraseme_65237.exe in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. gleiches mache mit: Microsoft Windows Spooler Windows Spooler Service Network Monitor ToolBar888 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.06.2006, 13:16
Member
Themenstarter Beiträge: 15 |
#9
Okay, also hier die Berichte von Registry Search:
REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 16.06.2006 13:09:16 for strings: ; ' eraseme_65237.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 16.06.2006 13:11:17 for strings: ; 'microsoft windows spooler' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000] "DeviceDesc"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service] "DisplayName"="Microsoft Windows Spooler Service" "Description"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000] "DeviceDesc"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service] "DisplayName"="Microsoft Windows Spooler Service" "Description"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000] "DeviceDesc"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service] "DisplayName"="Microsoft Windows Spooler Service" "Description"="Microsoft Windows Spooler Service" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 16.06.2006 13:12:59 for strings: ; 'windows spooler service' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000] "Service"="Windows Spooler Service" "DeviceDesc"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000\Control] "ActiveService"="Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service] "DisplayName"="Microsoft Windows Spooler Service" "Description"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000] "Service"="Windows Spooler Service" "DeviceDesc"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service] "DisplayName"="Microsoft Windows Spooler Service" "Description"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000] "Service"="Windows Spooler Service" "DeviceDesc"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000\Control] "ActiveService"="Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service] "DisplayName"="Microsoft Windows Spooler Service" "Description"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service\Enum] ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 16.06.2006 13:14:12 for strings: ; 'network monitor' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "Service"="Network Monitor" "DeviceDesc"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor] "DisplayName"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "Service"="Network Monitor" "DeviceDesc"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor] "DisplayName"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "Service"="Network Monitor" "DeviceDesc"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor] "DisplayName"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum] ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 16.06.2006 13:15:24 for strings: ; 'toolbar888' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}] @="ToolBar888" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32] @="C:\\Programme\\ToolBar888\\MyToolBar.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj] @="ToolBar888" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj.1] @="ToolBar888" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0] @="ToolBar888 1.0 Type Library" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0\win32] @="C:\\Programme\\ToolBar888\\MyToolBar.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\HELPDIR] @="C:\\Programme\\ToolBar888\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888] "DisplayName"="ToolBar888" "UninstallString"="C:\\Programme\\ToolBar888\\Uninst.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\MenuExt\&MyToolBar Search] @="res://C:\\Programme\\ToolBar888\\MyToolBar.dll/MENUSEARCH.HTM" [HKEY_USERS\S-1-5-21-854245398-261478967-725345543-1001\Software\Microsoft\Internet Explorer\MenuExt\&MyToolBar Search] @="res://C:\\Programme\\ToolBar888\\MyToolBar.dll/MENUSEARCH.HTM" ; End Of The Log... MfG Thymon |
|
|
||
16.06.2006, 13:34
Ehrenmitglied
Beiträge: 29434 |
#10
**
Search by Bobbi Flekman und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) 82.82.86.126 in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. ------------------------------------------------------------------ 1. Gehe in die Registry Start - Ausfuehren - regedit [HKEY_USERS\S-1-5-21-854245398-261478967-725345543-1001\Software\Microsoft\Internet Explorer\MenuExt\&MyToolBar Search] @="res://C:\\Programme\\ToolBar888\\MyToolBar.dll/MENUSEARCH.HTM" <--loeschen --------------------------------------------------------------------------------------------- 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** 3. poste das log vom Avenger, was erscheint ** 4. deinstalliere /loesche: C:\Programme\ToolBar888 C:\Programme\Network Monitor ** 5. scanne mit Kaspersky und danach mit panda und poste die scanreporte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.06.2006, 14:13
Member
Themenstarter Beiträge: 15 |
#11
So, erst einmal die ersten Anweisungen:
Zitat Sabina posteteREGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 16.06.2006 14:07:36 for strings: ; '82.82.86.126' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\61566] ; Contents of value: ; \\82.82.86.126\admin$\eraseme_65237.exe "ImagePath"=hex(2):5c,5c,38,32,2e,38,32,2e,38,36,2e,31,32,36,5c,41,64,6d,69,6e,\ 24,5c,65,72,61,73,65,6d,65,5f,36,35,32,33,37,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\61566] ; Contents of value: ; \\82.82.86.126\admin$\eraseme_65237.exe "ImagePath"=hex(2):5c,5c,38,32,2e,38,32,2e,38,36,2e,31,32,36,5c,41,64,6d,69,6e,\ 24,5c,65,72,61,73,65,6d,65,5f,36,35,32,33,37,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\61566] ; Contents of value: ; \\82.82.86.126\admin$\eraseme_65237.exe "ImagePath"=hex(2):5c,5c,38,32,2e,38,32,2e,38,36,2e,31,32,36,5c,41,64,6d,69,6e,\ 24,5c,65,72,61,73,65,6d,65,5f,36,35,32,33,37,2e,65,78,65,00 ; End Of The Log... Zitat Sabina posteteErledigt. MfG Thymon Edit: Weiter geht's. Zitat Sabina posteteErledigt. Zitat Sabina posteteWar etwas komplizierter als es zunächst den Anschein hatte, aber schließlich habe ich doch ein Logfile bekommen, hier: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\udioaowa ******************* Script file located at: \??\C:\WINNT\system32\upjkyxex.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor Status: 0xc0000034 File C:\WINNT\system32\drivers\netpt.sys not found! Deletion of file C:\WINNT\system32\drivers\netpt.sys failed! Could not process line: C:\WINNT\system32\drivers\netpt.sys Status: 0xc0000034 File C:\WINNT\uninstall_nmon.vbs deleted successfully. File C:\steam.exe deleted successfully. File C:\WINNT\services.exe deleted successfully. Deletion of file C:\Programme\Network Monitor\netmon.exe failed! Status: 0xc000014f Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj.1 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0\win32 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0\win32 failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\HELPDIR not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\HELPDIR failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888 deleted successfully. Completed script processing. ******************* Finished! Terminate. Zitat Sabina posteteToolBar888 - erledigt. Network Monitor - habe ich gar nicht gefunden, nicht in Programme, nicht in Dokumente und Einstellungen, nicht in WinNT. MfG Thymon Dieser Beitrag wurde am 16.06.2006 um 14:54 Uhr von Thymon editiert.
|
|
|
||
16.06.2006, 17:55
Ehrenmitglied
Beiträge: 29434 |
#12
kopiere in den Avenger:
Zitat registry keys to delete:gruene Ampel - PC neustarten - Log posten ** scanne mit Kaspersky und danach mit panda und poste die scanreporte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.06.2006, 19:06
Member
Themenstarter Beiträge: 15 |
#13
So, hier erst einmal das nächste Logfile von Avenger:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\yykpnygv ******************* Script file located at: \??\C:\WINNT\system32\uyhdbnif.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\61566 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\61566 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\61566 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\61566 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\61566 Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Bisher haben mich weder Kaspersky noch Panda einen kompletten Check durchführen lassen. Kaspersky hängt sich noch während des Updateprozesses mit Fehlermeldung auf, Panda stockt bei einer Datei des DLH98 (die ich jetzt versuchsweise einmal gelöscht habe). Aber ich versuche es noch mal. MfG Thymon |
|
|
||
17.06.2006, 00:18
Ehrenmitglied
Beiträge: 29434 |
#14
Multi_AV
http://virus-protect.org/multiavtool.html klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster. bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein - man muss eingeben, was gescannt werden soll - C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ * klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie hier ---------- scanne auch mit Sophos und Kaspersky,Trend Micro ...schau die Anleitung auf der Seite __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.06.2006, 00:28
Member
Themenstarter Beiträge: 15 |
#15
So, der Kasperskycheck ist jetzt durch, hier das Ergebnis:
KASPERSKY ON-LINE SCANNER REPORT Saturday, June 17, 2006 12:15:06 AM Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195) Kaspersky On-line Scanner version: 5.0.78.0 Kaspersky Anti-Virus database last update: 16/06/2006 Kaspersky Anti-Virus database records: 189012 Scan Settings Scan using the following antivirus database standard Scan Archives true Scan Mail Bases true Scan Target My Computer A:\ C:\ D:\ E:\ F:\ Scan Statistics Total number of scanned objects 130093 Number of viruses found 5 Number of infected objects 12 Number of suspicious objects 0 Duration of the scan process 02:05:23 Infected Object Name Virus Name Last Action C:\avenger\backup-Fr 16.06.2006-14.37.32,01.zip/avenger/steam.exe Infected: Trojan-Downloader.Win32.Adload.cd skipped C:\avenger\backup-Fr 16.06.2006-14.37.32,01.zip ZIP: infected - 1 skipped C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-68c58dc2-45904368.zip/binny/binny.class Infected: Trojan.Java.Binny.a skipped C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-68c58dc2-45904368.zip ZIP: infected - 1 skipped C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-5d45dd39-18136343.zip/GetAccess.class Infected: Trojan-Downloader.Java.OpenConnection.aj skipped C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-5d45dd39-18136343.zip/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.aj skipped C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-5d45dd39-18136343.zip ZIP: infected - 2 skipped C:\Dokumente und Einstellungen\Alfred\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EVKTUB\de[1].exe Infected: Trojan-Downloader.Win32.Adload.cd skipped C:\Dokumente und Einstellungen\Alfred\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EVKTUB\de[2].exe Infected: Trojan-Downloader.Win32.Adload.cd skipped C:\Programme\DLH98\0204.dlm/idx-bfviep3101/idx-bfviep3.1.01.exe Infected: Trojan-Dropper.Win32.Agent.hz skipped C:\Programme\DLH98\0204.dlm RAR: infected - 1 skipped C:\WINNT\Оracle\fast.exe Infected: Trojan-Downloader.Win32.PurityScan.cl skipped Scan process completed. MfG Thymon |
|
|
||
Nachdem ich in den letzten Tagen immer wieder von Programmabstürzen geplagt worden bin, habe ich verschiedene Trojaner ausmachen und wohl auch entfernen können. Eine der Dateien, die ich stark im Verdacht habe, mit den Problemen zusammenzuhängen ist jedoch schon wieder da. Es handelt sich dabei um steam.exe, die sich direkt im Hauptverzeichnis c:\ befindet. Da ich, soweit ich weiß, kein Spiel besitze, dass mit Steam zum Kopierschutz arbeitet, halte ich diese Datei für bedenklich und wollte fragen, ob ich damit richtig liege oder ob vielleicht mit meinem System doch alles in Ordnung ist.
MfG Thymon
P.S. Hier nun die verschiedenen Logs:
Logfile of HijackThis v1.99.1
Scan saved at 15:02:59, on 15.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\services.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\StartupMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe
O4 - Global Startup: InterCheck Monitor.lnk = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{593DD3D0-B1EC-4A15-A917-9912E38AB7CB}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: 61566 - Unknown owner - \\82.82.86.126\Admin$\eraseme_65237.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\services.exe
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C
Verzeichnis von C:\WINNT\system32
15.06.2006 13:49 41.198 vsconfig.xml
15.06.2006 13:43 3.615 MRT.INI
14.06.2006 11:54 233.576 FNTCACHE.DAT
11.06.2006 15:12 16.384 Perflib_Perfdata_4d8.dat
11.06.2006 15:12 16.384 Perflib_Perfdata_3fc.dat
11.06.2006 15:11 16.384 Perflib_Perfdata_2b8.dat
10.06.2006 10:32 16.384 Perflib_Perfdata_2d4.dat
10.06.2006 10:31 16.384 Perflib_Perfdata_3f4.dat
10.06.2006 10:31 16.384 Perflib_Perfdata_2b4.dat
10.06.2006 10:22 16.384 Perflib_Perfdata_5a0.dat
10.06.2006 10:21 16.384 Perflib_Perfdata_424.dat
10.06.2006 10:21 16.384 Perflib_Perfdata_3d8.dat
10.06.2006 09:49 16.384 Perflib_Perfdata_594.dat
10.06.2006 09:49 16.384 Perflib_Perfdata_3ec.dat
10.06.2006 09:48 16.384 Perflib_Perfdata_488.dat
09.06.2006 03:19 5.967.776 MRT.exe
02.06.2006 17:19 16.384 Perflib_Perfdata_6bc.dat
02.06.2006 17:19 16.384 Perflib_Perfdata_3a8.dat
26.05.2006 15:49 1.339.904 SHDOCVW.DLL
19.05.2006 16:08 2.702.848 MSHTML.DLL
17.05.2006 11:43 465.864 jscript.dll
15.05.2006 11:14 161.040 rasmans.dll
08.05.2006 12:30 463.360 URLMON.DLL
03.05.2006 08:57 291.840 sp3res.dll
28.04.2006 15:08 582.144 WININET.DLL
28.04.2006 10:58 12.288 JSPROXY.DLL
28.04.2006 10:57 351.744 DXTMSFT.DLL
25.04.2006 21:01 15.072 spmsg.dll
24.04.2006 15:40 4.730.880 wmp.dll
23.04.2006 10:00 153.872 msdtcui.dll
23.04.2006 10:00 1.202.448 msdtctm.dll
23.04.2006 10:00 740.112 msdtcprx.dll
23.04.2006 10:00 96.016 msdtclog.dll
23.04.2006 10:00 20.240 xolehlp.dll
23.04.2006 10:00 52.496 mtxclu.dll
23.04.2006 10:00 123.152 mtxoci.dll
13.04.2006 07:16 437.008 rpcrt4.dll
01.04.2006 12:50 4.212 zllictbl.dat
25.03.2006 02:07 98.304 CmdLineExt.dll
23.03.2006 22:23 2.386.192 SHELL32.DLL
18.03.2006 11:51 21.264 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C
Verzeichnis von C:\DOKUME~1\Alfred\LOKALE~1\Temp
15.06.2006 13:49 16.384 ~DFBB84.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 80.811.433.984 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C
Verzeichnis von C:\WINNT
15.06.2006 13:48 1.189.212 WindowsUpdate.log
15.06.2006 13:48 3.793 spupdsvc.log
15.06.2006 13:46 32.628 SchedLgU.Txt
15.06.2006 13:43 720.907 iis5.log
15.06.2006 13:43 1.410 imsins.log
15.06.2006 13:43 285.529 comsetup.log
15.06.2006 13:43 17.500 KB917953.log
15.06.2006 13:43 271.139 ocgen.log
15.06.2006 13:43 20.473 ockodak.log
15.06.2006 13:42 1.429 imsins.BAK
15.06.2006 13:42 9.084 KB916281-IE6SP1-20060526.162249.log
15.06.2006 13:42 73.628 updspapi.log
15.06.2006 13:42 14.990 KB917736.log
15.06.2006 13:42 14.396 KB911280.log
15.06.2006 13:42 14.090 KB914389.log
15.06.2006 13:42 4.742 KB917734.log
15.06.2006 13:42 163.828 wmsetup.log
15.06.2006 04:21 132 winamp.ini
14.06.2006 11:56 642.593 setupapi.log
13.06.2006 03:53 6.577 mozver.dat
12.06.2006 21:51 79.360 services.exe
15.05.2006 20:31 16.989 KB913580.log
15.05.2006 15:12 50.463 cdplayer.ini
27.04.2006 23:46 16.257 KB908531.log
27.04.2006 23:45 27.557 MDAC28-KB911562-x86-DEU.log
27.04.2006 23:45 7.290 KB912812-IE6SP1-20060322.182418.log
27.04.2006 23:45 5.423 KB911567-OE6SP1-20060316.165634.log
25.03.2006 21:33 128.109 Chattreffen Punktez„hler 2.jpg
25.03.2006 01:52 57.448 Directx.log
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C
Verzeichnis von C:\
15.06.2006 15:06 0 sys.txt
15.06.2006 15:05 11.644 system.txt
15.06.2006 15:05 301 systemtemp.txt
15.06.2006 15:04 95.309 system32.txt
15.06.2006 13:47 3.221.225.472 pagefile.sys
15.06.2006 13:44 42.496 steam.exe
03.05.2006 01:19 161 WWPunkteRechnenBenutzer1.txt
03.05.2006 01:19 210 WWPunkteDatenBenutzer1.txt
03.05.2006 01:19 51 WWPunktePetraBenutzer1.txt
03.05.2006 01:18 0 WWPunktePetraBenutzer2.txt
03.05.2006 01:18 0 WWPunkteDatenBenutzer2.txt
03.05.2006 01:18 0 WWPunkteEinkaufsliste.txt
03.05.2006 01:18 0 WWPunkteRezepte.txt
03.05.2006 01:18 150 WWPunkteRechnenBenutzer2.txt
27.04.2006 23:27 6.992 YServer.txt