Trojaner 'TR/Spy.Agent.42496' eingefangenThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
20.10.2007, 12:03
...neu hier
Beiträge: 4 |
||
|
||
20.10.2007, 13:50
Ehrenmitglied
Beiträge: 6028 |
#2
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lrs01/ F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst cfscript.txt 1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. file:: C:\WINDOWS\system32\ntos.exe C:\WINDOWS\system32\wsnpoem 2. Sleppe diese Datei in ComboFix.exe(sehe Bild) ComboFix wird jetzt starten und die Daten ausfuehren Nach neustart des Rechners,poste das log von ComboFix Und ein log von Hijack This __________ MfG Argus |
|
|
||
22.10.2007, 12:59
...neu hier
Themenstarter Beiträge: 4 |
#3
Alles gemacht.
Hier das Logfile von Combofix: ComboFix 07-10-20.6 - cad06 2007-10-22 12:40:56.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1553 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\cad06\hbr\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\cad06\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt FILE:: C:\WINDOWS\system32\ntos.exe C:\WINDOWS\system32\wsnpoem . ((((((((((((((((((((((( Dateien erstellt von 2007-09-22 bis 2007-10-22 )))))))))))))))))))))))))))))) . 2007-10-20 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\cad06\hbr 2007-10-20 11:24 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-18 12:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\backups 2007-10-18 12:06 401,720 --a------ C:\Dokumente und Einstellungen\All Users\HiJackThis.exe 2007-10-18 12:06 360 --a------ C:\Dokumente und Einstellungen\All Users\Fix.bat 2007-10-13 11:30 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll 2007-10-11 19:52 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen 2007-10-11 19:22 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2007-10-11 19:21 <DIR> d-------- C:\WINDOWS\provisioning 2007-10-11 19:21 <DIR> d-------- C:\WINDOWS\peernet 2007-10-11 19:20 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2007-10-11 19:14 <DIR> d-------- C:\WINDOWS\EHome 2007-10-11 18:52 11,776 --------- C:\WINDOWS\system32\spnpinst.exe 2007-10-11 18:52 4,569 --------- C:\WINDOWS\system32\secupd.dat 2007-10-11 18:34 614,912 --a------ C:\WINDOWS\system32\h323msp.dll 2007-10-11 18:34 609,792 -----c--- C:\WINDOWS\system32\dllcache\xpsp2res.dll 2007-10-11 18:34 334,336 --a------ C:\WINDOWS\system32\ipnathlp.dll 2007-10-11 18:05 1,094,144 --a------ C:\WINDOWS\system32\esent.dll 2007-10-11 17:46 <DIR> d-------- C:\WINDOWS\system32\bits 2007-10-11 17:45 <DIR> d--h----- C:\WINDOWS\$hf_mig$ 2007-10-11 17:45 351,232 --a------ C:\WINDOWS\system32\winhttp.dll 2007-10-11 17:45 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2007-10-11 17:45 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll 2007-10-11 17:45 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll 2007-10-11 17:45 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll 2007-10-11 17:41 549,720 --a------ C:\WINDOWS\system32\wuapi.dll 2007-10-11 17:41 325,976 --a------ C:\WINDOWS\system32\wucltui.dll 2007-10-11 17:41 203,096 --a------ C:\WINDOWS\system32\wuweb.dll 2007-10-11 17:41 186,648 --a------ C:\WINDOWS\system32\wuaueng1.dll 2007-10-11 17:41 169,752 --a------ C:\WINDOWS\system32\wuauclt1.exe 2007-10-11 17:41 33,624 --a------ C:\WINDOWS\system32\wups.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-20 10:10 --------- d-----w C:\Programme\AntiVir Workstation 2007-10-18 10:52 --------- d-----w C:\Programme\Java 2007-10-01 09:33 --------- d-----w C:\Programme\FreePDF_XP 2007-08-30 14:12 --------- d-----w C:\Programme\Stadlerrail 2007-08-27 09:43 --------- d-----w C:\Programme\FreePDF 2007-08-27 09:41 --------- d-----w C:\Programme\gs 2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2006-04-28 07:23 78,440 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat . ((((((((((((((((((((((((((((( snapshot@2007-10-20_11.33.54.84 ))))))))))))))))))))))))))))))))))))))))) . - 2007-10-20 09:20:02 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2007-10-22 05:52:31 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2007-10-20 09:20:02 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2007-10-22 05:52:31 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2007-10-20 09:20:02 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2007-10-22 05:52:31 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FreePDFAssistent"="C:\Programme\FreePDF\FreePDFA.exe" [] "avgnt"="C:\Programme\AntiVir Workstation\avgnt.exe" [2007-02-26 18:16] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-06-07 12:34] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 21:05] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe," R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys R1 LUMDriver;LUMDriver;\??\C:\WINDOWS\system32\drivers\LUMDriver.sys R2 AntiVirMailService;AntiVir Windows Workstation MailGuard;C:\Programme\AntiVir Workstation\avmailc.exe R2 AVEService;AntiVir Windows Workstation MailGuard Hilfsdienst;C:\Programme\AntiVir Workstation\avesvc.exe R2 BBDemon;Backbone Service;"C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe" -service S3 OracleSmOra92ClientCache;OracleSmOra92ClientCache;C:\programme\oracle\ora92\BIN\ONRSD.EXE S4 IBM LUM CR;IBM Central Registry License Server;C:\IFOR\WIN\BIN\I4GDB.EXE S4 IBM LUM LMD;IBM Network License Server;C:\IFOR\WIN\BIN\I4LMD.EXE S4 IBM LUM NDL;IBM Nodelock License Server;C:\IFOR\WIN\BIN\I4LLMD.EXE . ************************************************************************** catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-22 12:45:51 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... C:\WINDOWS\system32\ntos.exe 171008 bytes executable C:\WINDOWS\system32\wsnpoem IPC error: 2 Das System kann die angegebene Datei nicht finden. Scan erfolgreich abgeschlossen versteckte Dateien: 2 ************************************************************************** . Zeit der Fertigstellung: 2007-10-22 12:46:36 C:\ComboFix2.txt ... 2007-10-20 11:34 . --- E O F --- Hier das Logfile von HJT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:55:46, on 22.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir Workstation\sched.exe C:\Programme\AntiVir Workstation\avguard.exe C:\Programme\AntiVir Workstation\avesvc.exe C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe C:\WINDOWS\System32\nvsvc32.exe C:\programme\oracle\ora92\bin\omtsreco.exe C:\Programme\Analog Devices\SoundMAX\spkrmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir Workstation\avmailc.exe C:\Programme\AntiVir Workstation\avgnt.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\cad06\hbr\HJT.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir Workstation\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Start 3DxWare.lnk = C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir Workstation\avmailc.exe O23 - Service: AntiVir Windows Workstation Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir Workstation\sched.exe O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir Workstation\avguard.exe O23 - Service: AntiVir Windows Workstation MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir Workstation\avesvc.exe O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\programme\oracle\ora92\bin\omtsreco.exe O23 - Service: OracleSmOra92ClientCache - Unknown owner - C:\programme\oracle\ora92\BIN\ONRSD.EXE O23 - Service: spkrmon - Unknown owner - C:\Programme\Analog Devices\SoundMAX\spkrmon.exe -- End of file - 5124 bytes |
|
|
||
22.10.2007, 13:29
Ehrenmitglied
Beiträge: 6028 |
#4
1.
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst 2. Avenger Download http://swandog46.geekstogo.com/avenger.zip zum Desktop Alle Fenster muessen geschlossen sein Starte Avenger Anhaken “Input script manually Die "Lupe" rechts anklicken- View/edit script (wird sich öffnen) kopiere rein: Files to delete: C:\WINDOWS\system32\ntos.exe C:\WINDOWS\system32\wsnpoem Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen 3. Download SDFix zum Desktop Starte im abgesicherten Modus: http://www.bsi.bund.de/av/texte/wiederher.htm SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Schreibe: Y folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread Und ein log von Hijack This __________ MfG Argus |
|
|
||
22.10.2007, 18:59
...neu hier
Themenstarter Beiträge: 4 |
#5
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ahrloumc ******************* Script file located at: \??\C:\WINDOWS\system32\ohuiterd.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\ntos.exe deleted successfully. Error: C:\WINDOWS\system32\wsnpoem is a folder, not a file! Deletion of file C:\WINDOWS\system32\wsnpoem failed! Could not process line: C:\WINDOWS\system32\wsnpoem Status: 0xc00000ba Completed script processing. ******************* Finished! Terminate. SDFix: Version 1.110 Run by cad06 on 22.10.2007 at 18:20 Microsoft Windows XP [Version 5.1.2600] Running From: C:\Virus\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: Trojan Files Found: C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted C:\WINDOWS\system32\wsnpoem\video.dll - Deleted Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\\Programme\\Dassault Systemes\\B16\\intel_a\\code\\bin\\CNEXT.exe"="C:\\Programme\\Dassault Systemes\\B16\\intel_a\\code\\bin\\CNEXT.exe:*:Enabled:CATIA" "C:\\Programme\\UGS\\NX 3.0\\UGII\\ugraf.exe"="C:\\Programme\\UGS\\NX 3.0\\UGII\\ugraf.exe:*:Enabled:NX Component" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files: --------------- File Backups: - C:\Virus\SDFix\backups\backups.zip Files with Hidden Attributes: Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\df5639f970beb9dd53a1263e6651362c\BIT3.tmp" Finished! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:01:26, on 22.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir Workstation\sched.exe C:\Programme\AntiVir Workstation\avguard.exe C:\Programme\AntiVir Workstation\avesvc.exe C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe C:\WINDOWS\System32\nvsvc32.exe C:\programme\oracle\ora92\bin\omtsreco.exe C:\Programme\Analog Devices\SoundMAX\spkrmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir Workstation\avmailc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\AntiVir Workstation\avgnt.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\cad06\hbr\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lrs01/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir Workstation\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Start 3DxWare.lnk = C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir Workstation\avmailc.exe O23 - Service: AntiVir Windows Workstation Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir Workstation\sched.exe O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir Workstation\avguard.exe O23 - Service: AntiVir Windows Workstation MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir Workstation\avesvc.exe O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\programme\oracle\ora92\bin\omtsreco.exe O23 - Service: OracleSmOra92ClientCache - Unknown owner - C:\programme\oracle\ora92\BIN\ONRSD.EXE O23 - Service: spkrmon - Unknown owner - C:\Programme\Analog Devices\SoundMAX\spkrmon.exe -- End of file - 5098 bytes Dieser Beitrag wurde am 22.10.2007 um 19:03 Uhr von Johann99 editiert.
|
|
|
||
22.10.2007, 19:19
Ehrenmitglied
Beiträge: 6028 |
#6
Entferne auf C:\ avenger\backup.zip -->Papierkorb leeren
Entferne auf C:\SDFix\ backups -->papierkorb leeren Systemwiederherstellung Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Neu Starten Dann wieder aktivieren (Häkchen entfernen) Gute fahrt __________ MfG Argus |
|
|
||
23.10.2007, 15:56
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo Arnold
Alles wieder OK. Vielen Dank für Deine schnelle und kompetente Hilfe (ich weiss, Paypal, habe aber leider kein Konto) Jahann99 |
|
|
||
Antivir hat einen Virus 'TR/Spy.Agent.42496' entdeckt.
Die Datei C:\WINDOWS\system32\ntos.exe habe ich bereits gelöscht. Hat aber nichts gebracht.
Habe alles gemäss eurer Anleitung abgearbeitet.
Hier die Ergebnisse:
Combofix:
----------
ComboFix 07-10-20.6 - cad06 2007-10-20 11:25:35.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1590 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\cad06\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
((((((((((((((((((((((( Dateien erstellt von 2007-09-20 bis 2007-10-20 ))))))))))))))))))))))))))))))
.
2007-10-20 11:24 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-18 12:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\backups
2007-10-18 12:06 401,720 --a------ C:\Dokumente und Einstellungen\All Users\HiJackThis.exe
2007-10-18 12:06 360 --a------ C:\Dokumente und Einstellungen\All Users\Fix.bat
2007-10-13 11:30 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-11 19:52 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen
2007-10-11 19:22 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-10-11 19:21 <DIR> d-------- C:\WINDOWS\provisioning
2007-10-11 19:21 <DIR> d-------- C:\WINDOWS\peernet
2007-10-11 19:20 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2007-10-11 19:14 <DIR> d-------- C:\WINDOWS\EHome
2007-10-11 18:52 11,776 --------- C:\WINDOWS\system32\spnpinst.exe
2007-10-11 18:52 4,569 --------- C:\WINDOWS\system32\secupd.dat
2007-10-11 18:34 614,912 --a------ C:\WINDOWS\system32\h323msp.dll
2007-10-11 18:34 609,792 -----c--- C:\WINDOWS\system32\dllcache\xpsp2res.dll
2007-10-11 18:34 334,336 --a------ C:\WINDOWS\system32\ipnathlp.dll
2007-10-11 18:05 1,094,144 --a------ C:\WINDOWS\system32\esent.dll
2007-10-11 17:46 <DIR> d-------- C:\WINDOWS\system32\bits
2007-10-11 17:45 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-10-11 17:45 351,232 --a------ C:\WINDOWS\system32\winhttp.dll
2007-10-11 17:45 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-11 17:45 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2007-10-11 17:45 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
2007-10-11 17:45 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2007-10-11 17:41 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-10-11 17:41 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-10-11 17:41 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-10-11 17:41 186,648 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-10-11 17:41 169,752 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-10-11 17:41 33,624 --a------ C:\WINDOWS\system32\wups.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-18 10:52 --------- d-----w C:\Programme\Java
2007-10-13 09:29 --------- d-----w C:\Programme\AntiVir Workstation
2007-10-01 09:33 --------- d-----w C:\Programme\FreePDF_XP
2007-08-30 14:12 --------- d-----w C:\Programme\Stadlerrail
2007-08-27 09:43 --------- d-----w C:\Programme\FreePDF
2007-08-27 09:41 --------- d-----w C:\Programme\gs
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-20 13:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir Workstation
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2006-04-28 07:23 78,440 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreePDFAssistent"="C:\Programme\FreePDF\FreePDFA.exe" []
"avgnt"="C:\Programme\AntiVir Workstation\avgnt.exe" [2007-02-26 18:16]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-06-07 12:34]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 21:05]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,"
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 LUMDriver;LUMDriver;\??\C:\WINDOWS\system32\drivers\LUMDriver.sys
R2 AntiVirMailService;AntiVir Windows Workstation MailGuard;C:\Programme\AntiVir Workstation\avmailc.exe
R2 AVEService;AntiVir Windows Workstation MailGuard Hilfsdienst;C:\Programme\AntiVir Workstation\avesvc.exe
R2 BBDemon;Backbone Service;"C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe" -service
S3 OracleSmOra92ClientCache;OracleSmOra92ClientCache;C:\programme\oracle\ora92\BIN\ONRSD.EXE
S4 IBM LUM CR;IBM Central Registry License Server;C:\IFOR\WIN\BIN\I4GDB.EXE
S4 IBM LUM LMD;IBM Network License Server;C:\IFOR\WIN\BIN\I4LMD.EXE
S4 IBM LUM NDL;IBM Nodelock License Server;C:\IFOR\WIN\BIN\I4LLMD.EXE
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-20 11:33:36
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
C:\WINDOWS\system32\ntos.exe 171008 bytes executable
C:\WINDOWS\system32\wsnpoem
IPC error: 2 Das System kann die angegebene Datei nicht finden.
Scan erfolgreich abgeschlossen
versteckte Dateien: 2
**************************************************************************
.
Zeit der Fertigstellung: 2007-10-20 11:34:21
.
--- E O F ---
Hijackthis:
----------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:40:00, on 20.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir Workstation\sched.exe
C:\Programme\AntiVir Workstation\avguard.exe
C:\Programme\AntiVir Workstation\avesvc.exe
C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\programme\oracle\ora92\bin\omtsreco.exe
C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir Workstation\avmailc.exe
C:\Programme\AntiVir Workstation\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\cad06\hbr\HiJackThis\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lrs01/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir Workstation\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Start 3DxWare.lnk = C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir Workstation\avmailc.exe
O23 - Service: AntiVir Windows Workstation Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir Workstation\sched.exe
O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir Workstation\avguard.exe
O23 - Service: AntiVir Windows Workstation MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir Workstation\avesvc.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\programme\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleSmOra92ClientCache - Unknown owner - C:\programme\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: spkrmon - Unknown owner - C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
--
End of file - 5295 bytes
Datfind:
-------
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 348A-91F2
Verzeichnis von C:\WINDOWS\system32
20.10.2007 11:19 4'412 nvapps.xml
18.10.2007 12:52 5'686 jupdate-1.6.0_03-b05.log
14.10.2007 17:51 2'206 wpa.dbl
13.10.2007 11:45 52'764 perfc009.dat
13.10.2007 11:45 391'000 perfh007.dat
13.10.2007 11:45 380'350 perfh009.dat
13.10.2007 11:45 63'580 perfc007.dat
13.10.2007 11:45 897'954 PerfStringBackup.INI
13.10.2007 11:43 138'056 FNTCACHE.DAT
13.10.2007 11:34 129'082 TZLog.log
11.10.2007 19:52 90 spupdwxp.log
05.10.2007 10:07 279'552 swreg.exe
27.09.2007 22:19 18'089'592 MRT.exe
24.09.2007 23:31 139'264 javaws.exe
24.09.2007 23:31 69'632 javacpl.cpl
24.09.2007 22:30 135'168 javaw.exe
24.09.2007 22:30 135'168 java.exe
22.08.2007 15:13 664'576 wininet.dll
22.08.2007 15:13 1'494'528 shdocvw.dll
22.08.2007 15:13 617'472 urlmon.dll
22.08.2007 15:13 474'624 shlwapi.dll
22.08.2007 15:13 532'480 mstime.dll
22.08.2007 15:13 39'424 pngfilt.dll
22.08.2007 15:13 146'432 msrating.dll
22.08.2007 15:13 449'024 mshtmled.dll
22.08.2007 15:13 3'079'168 mshtml.dll
22.08.2007 15:13 16'384 jsproxy.dll
22.08.2007 15:13 251'392 iepeers.dll
22.08.2007 15:13 96'768 inseng.dll
22.08.2007 15:13 205'312 dxtrans.dll
22.08.2007 15:13 55'808 extmgr.dll
22.08.2007 15:13 357'888 dxtmsft.dll
22.08.2007 15:13 1'056'256 danim.dll
22.08.2007 15:13 1'022'976 browseui.dll
22.08.2007 15:13 152'064 cdfview.dll
21.08.2007 12:53 123'904 xpsp3res.dll
21.08.2007 08:16 683'520 inetcomm.dll
30.07.2007 19:20 30'040 wuaucpl.cpl.mui
30.07.2007 19:20 30'040 wuapi.dll.mui
30.07.2007 19:19 1'712'984 wuaueng.dll
30.07.2007 19:19 549'720 wuapi.dll
30.07.2007 19:19 325'976 wucltui.dll
30.07.2007 19:19 216'408 wuaucpl.cpl
30.07.2007 19:19 203'096 wuweb.dll
30.07.2007 19:19 92'504 cdm.dll
30.07.2007 19:19 53'080 wuauclt.exe
30.07.2007 19:19 43'352 wups2.dll
30.07.2007 19:18 34'136 wucltui.dll.mui
30.07.2007 19:18 33'624 wups.dll
30.07.2007 19:18 20'824 wuaueng.dll.mui
18.07.2007 14:42 60'416 tzchange.exe
09.07.2007 15:11 584'192 rpcrt4.dll
1981 Datei(en) 372'271'865 Bytes
0 Verzeichnis(se), 63'621'402'624 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 348A-91F2
Verzeichnis von C:\DOKUME~1\cad06\LOKALE~1\Temp
20.10.2007 11:40 96'779 datfind.txt
20.10.2007 11:19 16'384 ~DFAE2B.tmp
2 Datei(en) 113'163 Bytes
0 Verzeichnis(se), 63'621'435'392 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 348A-91F2
Verzeichnis von C:\WINDOWS
20.10.2007 11:21 1'515'063 WindowsUpdate.log
20.10.2007 11:19 0 0.log
20.10.2007 11:19 50 wiaservc.log
20.10.2007 11:19 157 wiadebug.log
20.10.2007 11:19 2'048 bootstat.dat
20.10.2007 06:03 136'192 catchme.exe
19.10.2007 16:42 32'618 SchedLgU.Txt
19.10.2007 09:31 47'197 avx.ini
18.10.2007 12:55 399'564 ntbtlog.txt
18.10.2007 12:52 280'432 setupapi.log
18.10.2007 12:08 9'840 EventSystem.log
16.10.2007 12:29 3'564 wmsetup.log
15.10.2007 18:41 1'864 OEWABLog.txt
13.10.2007 11:44 31'255 spupdsvc.log
13.10.2007 11:39 1'102'606 iis6.log
13.10.2007 11:39 230'805 comsetup.log
13.10.2007 11:39 28'904 ocmsn.log
13.10.2007 11:39 48'474 tabletoc.log
13.10.2007 11:39 438'930 tsoc.log
13.10.2007 11:39 139'111 ntdtcsetup.log
13.10.2007 11:39 1'393 imsins.log
13.10.2007 11:39 35'025 KB927779.log
13.10.2007 11:39 40'113 medctroc.Log
13.10.2007 11:39 47'442 msgsocm.log
13.10.2007 11:39 166'318 netfxocm.log
13.10.2007 11:39 474'636 ocgen.log
13.10.2007 11:39 943'781 FaxSetup.log
13.10.2007 11:39 306'294 msmqinst.log
13.10.2007 11:39 77'494 updspapi.log
13.10.2007 11:39 1'393 imsins.BAK
13.10.2007 11:39 32'224 KB927802.log
13.10.2007 11:39 31'795 KB928255.log
13.10.2007 11:38 32'093 KB931784.log
13.10.2007 11:38 23'499 KB933729.log
13.10.2007 11:38 30'655 KB923980.log
13.10.2007 11:38 30'059 KB936021.log
13.10.2007 11:38 29'566 KB938828.log
13.10.2007 11:38 33'577 KB939653.log
13.10.2007 11:38 23'619 KB924667.log
13.10.2007 11:38 26'627 KB900485.log
13.10.2007 11:37 26'230 KB924270.log
13.10.2007 11:37 24'422 KB931261.log
13.10.2007 11:37 17'048 KB936782.log
13.10.2007 11:37 18'552 KB927891.log
13.10.2007 11:37 24'316 KB936357.log
13.10.2007 11:37 24'064 KB921503.log
13.10.2007 11:37 23'176 KB887472.log
13.10.2007 11:37 23'934 KB938829.log
13.10.2007 11:37 16'510 KB925398.log
13.10.2007 11:36 23'775 KB925902.log
13.10.2007 11:36 22'372 KB929123.log
13.10.2007 11:35 20'429 KB926436.log
13.10.2007 11:35 21'441 KB920872.log
13.10.2007 11:35 19'989 KB930178.log
13.10.2007 11:35 21'204 KB932168.log
13.10.2007 11:35 13'490 KB922582.log
13.10.2007 11:35 18'089 KB941202.log
13.10.2007 11:35 18'603 KB918118.log
13.10.2007 11:35 17'511 KB926255.log
13.10.2007 11:35 17'284 KB938127.log
13.10.2007 11:34 17'383 KB920213.log
13.10.2007 11:34 26'222 KB933360.log
13.10.2007 11:34 15'275 KB935840.log
13.10.2007 11:34 9'807 KB886185.log
13.10.2007 11:34 14'915 KB916595.log
13.10.2007 11:34 15'098 KB930916.log
13.10.2007 11:34 9'246 KB923689.log
13.10.2007 11:34 14'921 KB935839.log
13.10.2007 11:34 15'112 KB928843.log
11.10.2007 19:54 747'293 setuplog.txt
11.10.2007 19:52 360 DtcInstall.log
11.10.2007 19:52 316'640 WMSysPr9.prx
11.10.2007 19:49 475'411 svcpack.log
11.10.2007 19:49 255'670 KB924496.log
11.10.2007 19:49 271'259 KB924191.log
11.10.2007 19:48 268'547 KB923414.log
11.10.2007 19:48 234'687 KB923191.log
11.10.2007 19:47 282'739 KB922819.log
11.10.2007 19:47 263'856 KB922616.log
11.10.2007 19:46 265'736 KB921883.log
11.10.2007 19:46 256'195 KB921398.log
11.10.2007 19:45 262'423 KB920685.log
11.10.2007 19:45 218'356 KB920683.log
11.10.2007 19:44 242'817 KB920670.log
11.10.2007 19:44 242'434 KB919007.log
11.10.2007 19:43 231'042 KB917953.log
11.10.2007 19:43 229'948 KB917422.log
11.10.2007 19:42 231'084 KB917344.log
11.10.2007 19:42 217'042 KB914389.log
11.10.2007 19:41 244'624 KB914388.log
11.10.2007 19:41 222'846 KB913580.log
11.10.2007 19:40 229'321 KB912919.log
11.10.2007 19:39 268'656 KB911927.log
11.10.2007 19:39 254'646 KB911562.log
11.10.2007 19:38 262'526 KB911280.log
11.10.2007 19:38 245'358 KB910437.log
11.10.2007 19:37 224'305 KB908531.log
11.10.2007 19:37 216'143 KB908519.log
11.10.2007 19:36 220'113 KB905749.log
11.10.2007 19:36 231'748 KB905414.log
11.10.2007 19:35 224'933 KB904706.log
11.10.2007 19:35 260'222 KB902400.log
11.10.2007 19:34 230'269 KB901214.log
11.10.2007 19:33 260'723 KB901017.log
11.10.2007 19:33 234'479 KB900725.log
11.10.2007 19:32 261'520 KB899591.log
11.10.2007 19:32 240'412 KB899589.log
11.10.2007 19:31 270'148 KB899587.log
11.10.2007 19:31 214'920 KB896428.log
11.10.2007 19:30 263'631 KB896424.log
11.10.2007 19:30 250'765 KB896423.log
11.10.2007 19:29 251'991 KB896358.log
11.10.2007 19:29 262'397 KB893756.log
11.10.2007 19:28 240'436 KB891781.log
11.10.2007 19:28 218'097 KB890859.log
11.10.2007 19:27 242'200 KB890046.log
11.10.2007 19:27 225'181 KB888302.log
11.10.2007 19:26 263'311 KB885836.log
11.10.2007 19:26 267'227 KB885835.log
11.10.2007 19:25 248'236 KB873339.log
11.10.2007 19:22 200 cmsetacl.log
11.10.2007 19:22 620 win.ini
11.10.2007 19:22 1'330 sessmgr.setup.log
11.10.2007 18:44 6'351 KB892130.log
11.10.2007 18:35 3'862 xpsp1hfm.log
11.10.2007 18:35 64'215 KB835732.log
11.10.2007 18:29 47'165 KB914798.log
11.10.2007 18:28 42'100 KB925486-IE6SP1-20060918.120000.log
11.10.2007 18:28 42'196 KB918439-IE6SP1-20060530.145346.log
11.10.2007 18:26 50'086 KB905495.log
11.10.2007 18:25 44'221 KB911564.log
11.10.2007 18:21 24'436 KB917734.log
11.10.2007 18:19 30'334 KB892944.log
11.10.2007 18:18 19'690 KB918899-IE6SP1-20060725.123917.log
11.10.2007 18:17 16'913 KB911567-OE6SP1-20060316.165634.log
11.10.2007 18:15 16'609 KB835409.log
11.10.2007 17:47 7'744 KB842773.log
11.10.2007 17:46 186'687 setupact.log
11.10.2007 17:46 9'437 KB893803v2.log
11.10.2007 17:46 8'426 KB898461.log
12.07.2007 14:55 48'092 Windows Update.log
212 Datei(en) 27'381'893 Bytes
0 Verzeichnis(se), 63'621'419'008 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 348A-91F2
Verzeichnis von C:\WINDOWS\temp
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 348A-91F2
Verzeichnis von C:\WINDOWS\Downloaded Program Files
25.09.2007 01:33 1'055 jinstall-6u3.inf
16.05.2007 08:22 166'512 gp.ocx
16.05.2007 08:22 399 gp.inf
09.11.2006 17:04 898 jinstall-1_5_0_10.inf
25.04.2006 12:10 65 desktop.ini
27.03.2006 13:00 5'019 swflash.inf
11.08.2004 03:22 3'036 wmv9dmo.inf
7 Datei(en) 176'984 Bytes
0 Verzeichnis(se), 63'621'423'104 Bytes frei
.
----------------------------
Danke in Voraus für Eure Hilfe