Hi und Herzlich Willkommen im Trojaner-Board

Wie du schon gesagt hast, wäre ein Neuaufsetzen deines
System wohl das Beste, aber wie ich so heraus höre, wirst
du das nicht durchführen. Na dann gehen wir mal den alternativen
Weg, obwohl ich dir kein sicheres System garantiere.

Zitat:

1. Seit wann bzw. wann wurde der Schädling aktiv?
2. Kann ich einen Zeitraum angeben, sodass ich weiss welche Kennwörter ich wo eingegeben habe oder auch nicht?
3. Was hat der Schädling gemacht?

zu 1: sehen wir vielleicht an deinem Filelist.
zu 2: alle Logindaten, die nach dem letzten Neuaufsetzen ausgeführt wurden.
zu 3: Auszug aus Sophos:

Zitat:

- Erlaubt dritten Zugriff auf das System
- modifiziert Daten auf dem System
- löscht Daten auf dem System
- Stiehlt Informationen über Passwörter
- Lädt ausführbaren Code aus dem Internet

1. In deinem aktuellen Logfile ist nichts weiter malwareartiges zu sehen.

2. Fixe folgenden Eintrag noch:

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

3. Suche folgende Schlüssel auf und lösche, falls vorhanden:
(Start > Ausführen > Regedit)

Zitat:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows Update
scvhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows Update
scvhost.exe

4. * CCleaner
- Lade dir den CCleaner runter
- Setze bei der Ausführung die Häkchen mindestens Cookies und Internet Files
- optional kannst du die gelöschten Einträge aus dem Fenster abkopieren und posten

5. Poste die Logs von folgenden Scans
(mehr können wir nicht für dich tuen)

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

* Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die
letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem
nächsten Beitrag ein.


Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

* tcpview
1. Lade dir das Tool -> tcpview
2. Entpacke es auf dem Desktop und starte die Datei tcpview.exe im Ordner
3. Oben links auf das Diskettensymbol klicken und das Logfile abspeichern.
4. Den Inhalt der Logdatei posten.

mfg Cleriker

Zitat:

Zitat von Cleriker

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Vielen Dank erst einmal für die Hinweise und Ratschläge.

Hier mal ein Auszug was erstellt wurde:
Verzeichnis von C:\WINDOWS\system32

14.10.2007 08:59 109.248 MSWINSCK.OCX
14.10.2007 00:16 53.760 zlib.dll
12.10.2007 07:57 2.278 wpa.dbl
05.10.2007 10:07 279.552 swreg.exe
02.09.2007 20:34 265.416 FNTCACHE.DAT
18.08.2007 22:50 0 mapisvc.inf
08.08.2007 16:31 2.707.456 OnlineScanner.ocx
08.08.2007 16:30 19.456 OnlineScannerLang.dll
02.08.2007 18:11 253.952 OnlineScannerDLLA.dll
02.08.2007 18:11 241.664 OnlineScannerDLLW.dll
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
27.07.2007 15:49 225.355 lnod32apiW.dll
27.07.2007 15:49 196.683 lnod32apiA.dll
26.07.2007 21:46 108.144 CmdLineExt.dll
14.07.2007 23:42 181.736 rmoc3260.dll
14.07.2007 23:42 5.632 pndx5032.dll
14.07.2007 23:42 6.656 pndx5016.dll
14.07.2007 23:42 278.528 pncrt.dll
.
.
.
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\DOKUME~1\STANDA~1\LOKALE~1\Temp

14.10.2007 09:33 100.377 datfind.txt
14.10.2007 09:32 114.688 ~DF924D.tmp
2 Datei(en) 215.065 Bytes
0 Verzeichnis(se), 13.450.457.088 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS

14.10.2007 09:00 2.006.742 WindowsUpdate.log
14.10.2007 08:59 0 0.log
14.10.2007 08:59 159 wiadebug.log
14.10.2007 08:59 50 wiaservc.log
14.10.2007 08:59 54.156 QTFont.qfn
14.10.2007 08:59 2.048 bootstat.dat
14.10.2007 08:58 32.574 SchedLgU.Txt
13.10.2007 08:55 839 win.ini
13.10.2007 08:54 26 Lic.xxx
13.10.2007 08:53 216.362 ntbtlog.txt
12.10.2007 16:07 473.110 setupapi.log
12.10.2007 08:05 69.880 iis6.log
12.10.2007 08:05 157.127 comsetup.log
12.10.2007 08:05 95.586 ntdtcsetup.log
12.10.2007 08:05 181.242 tsoc.log
12.10.2007 08:05 1.393 imsins.log
12.10.2007 08:05 24.684 ocmsn.log
12.10.2007 08:05 7.705 KB933729.log
12.10.2007 08:05 240.173 ocgen.log
12.10.2007 08:05 22.637 msgsocm.log
12.10.2007 08:05 444.911 FaxSetup.log
12.10.2007 08:05 17.346 updspapi.log
08.10.2007 17:25 218.408 setupact.log
28.09.2007 09:06 135.168 catchme.exe
02.09.2007 20:44 1.355 imsins.BAK
02.09.2007 20:44 9.810 KB885250.log
31.08.2007 16:08 42.896 KB899587.log
31.08.2007 16:07 42.397 KB927779.log
31.08.2007 16:07 39.389 KB927802.log
31.08.2007 16:07 38.989 KB922819.log
31.08.2007 16:07 38.059 KB923414.log
31.08.2007 16:07 38.742 KB928255.log
31.08.2007 16:07 38.689 KB931784.log
31.08.2007 16:06 36.565 KB911927.log
31.08.2007 16:06 35.567 KB901017.log
31.08.2007 16:06 35.589 KB899591.log
31.08.2007 16:06 25.654 KB923723.log
31.08.2007 16:06 36.201 KB920685.log
31.08.2007 16:06 38.329 KB923980.log
31.08.2007 16:06 37.714 KB936021.log
31.08.2007 16:06 36.428 KB911562.log
31.08.2007 16:06 34.647 KB924667.log
31.08.2007 16:05 36.565 KB924270.log
31.08.2007 16:05 33.963 KB924496.log
31.08.2007 16:05 35.400 KB921503.log
31.08.2007 16:05 34.590 KB938829.log
31.08.2007 16:05 34.437 KB925902.log
31.08.2007 16:05 32.300 KB920670.log
31.08.2007 16:05 31.217 KB891781.log
31.08.2007 16:05 34.864 KB902400.log
31.08.2007 16:04 28.714 KB926436.log
31.08.2007 16:04 29.909 KB930178.log
31.08.2007 16:04 27.172 KB919007.log
31.08.2007 16:04 28.961 KB914388.log
31.08.2007 16:04 27.697 KB917344.log
31.08.2007 16:04 26.706 KB905414.log
31.08.2007 16:04 27.452 KB917953.log
31.08.2007 16:04 28.494 KB932168.log
31.08.2007 16:04 26.660 KB901214.log
31.08.2007 16:04 24.495 KB923191.log
31.08.2007 16:03 18.078 KB922582.log
31.08.2007 16:03 23.468 KB918118.log
31.08.2007 16:03 23.567 KB926255.log
31.08.2007 16:03 23.917 KB900725.log
31.08.2007 16:03 22.820 KB938127.log
31.08.2007 16:03 23.048 KB920213.log
31.08.2007 16:03 21.889 KB935840.log
31.08.2007 16:03 21.325 KB904706.log
31.08.2007 16:03 21.924 KB908531.log
31.08.2007 16:02 15.436 KB923689.log
31.08.2007 16:02 25.188 KB937143.log
31.08.2007 16:02 18.448 KB935839.log
31.08.2007 16:02 18.001 KB908519.log
31.08.2007 16:01 18.691 KB920683.log
31.08.2007 16:01 17.184 KB928843.log
14.08.2007 23:12 0 mngui.INI
14.08.2007 22:51 57.918 DPINST.LOG
14.08.2007 22:27 119.583 wmsetup.log
26.07.2007 21:46 124.632 DirectX.log
14.07.2007 23:44 24 cdplayer.ini
14.07.2007 23:43 1.549 mozver.dat
.
.
.
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\temp
.
.
.

Zitat:

Zitat von Cleriker

zu 2: alle Logindaten, die nach dem letzten Neuaufsetzen ausgeführt wurden.

a) Werden die Login Daten gespeichert?
b) Welche Login Daten werden gespeichert?
c) Werden auch Login Daten von Foren, Webmail, Online-Banking gespeichert auch wenn ich den Browser so einstelle, dass er nichts speichern soll?

Hi nochmal,

Zitat:

14.10.2007 08:59 109.248 MSWINSCK.OCX

Sieht so aus, als wäre die ganze Geschichte erst gestern passiert.

Zitat:

a) Werden die Login Daten gespeichert?
b) Welche Login Daten werden gespeichert?
c) Werden auch Login Daten von Foren, Webmail, Online-Banking gespeichert auch wenn ich den Browser so einstelle, dass er nichts speichern soll?

ich geh hier mal vom worst case aus:
a) wenn der Schädling mit einer Keyloggerfunktion ausgestattet ist, ja
b) Online-Banking, Ebay, E-Mail-Account
c) siehe a)

mfg Cleriker

...denke auch, dass das erst gestern morgen passiert ist.

Trotzdem werde ich noch die ganzen anderen Dinge aus dem Antwort Post abarbeiten und hier bescheid geben.

Zitat:

Zitat von Cleriker

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

ich bekomme das nicht hin, da die find.bat keine verkürzte Datei generiert. Habe MWAV und find.bat im gleichen Verzeichnis, aber es wird nichts generiert, obwohl die Batch Datei abläuft ist das Ergebnis leer.

MWAV meldet aber u.a.

Mon Oct 15 19:36:19 2007 => Offending file found: C:\WINDOWS\system32\swreg.exe
Mon Oct 15 19:36:19 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.

Mon Oct 15 19:36:19 2007 => Offending file found: C:\WINDOWS\system32\swsc.exe
Mon Oct 15 19:36:19 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.

Was soll ich jetzt machen?

Nochmal MWAV starten und dann ohne Netzwerkunterstützung? Brauche ich die zum Scannen die Netzwerkunterstützung?

Zitat:

Zitat von Cleriker

* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"PWRMGRTR" = "rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor" [MS]
"SoundMAX" = "C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray" ["Analog Devices, Inc."]
"SoundMAXPnP" = "C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" ["Analog Devices, Inc."]
"TPHOTKEY" = "C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [null data]
"TrackPointSrv" = "tp4serv.exe" ["IBM Corporation"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"BLOG" = "rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog" [MS]
"IBMPRC" = "C:\IBMTOOLS\UTILS\ibmprc.exe" ["IBM Corp."]
"Igfxhkcmd" = "C:\WINDOWS\System32\hkcmd.exe" ["Intel Corporation"]
"igfxpers" = "C:\WINDOWS\System32\igfxpers.exe" ["Intel Corporation"]
"igfxtray" = "C:\WINDOWS\System32\igfxtray.exe" ["Intel Corporation"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Groove GFS Browser Helper"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{C539A15A-3AF9-4c92-B771-50CB78F5C751}" = "Acronis True Image Shell Context Menu Extension"
-> {HKLM...CLSID} = "Acronis True Image Shell Context Menu Extension"
\InProcServer32\(Default) = "C:\Programme\Acronis\TrueImageHome\tishell.dll" ["Acronis"]
"{C539A15B-3AF9-4c92-B771-50CB78F5C751}" = "Acronis True Image Shell Extension"
-> {HKLM...CLSID} = "Acronis True Image Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Acronis\TrueImageHome\tishell.dll" ["Acronis"]
"{72853161-30C5-4D22-B7F9-0BBC1D38A37E}" = "Groove GFS Browser Helper"
-> {HKLM...CLSID} = "Groove GFS Browser Helper"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}" = "Groove GFS Explorer Bar"
-> {HKLM...CLSID} = "Groove Folder Synchronization"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{A449600E-1DC6-4232-B948-9BD794D62056}" = "Groove GFS Stub Icon Handler"
-> {HKLM...CLSID} = "Groove GFS Stub Icon Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"
-> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{6C467336-8281-4E60-8204-430CED96822D}" = "Groove GFS Context Menu Handler"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{387E725D-DC16-4D76-B310-2C93ED4752A0}" = "Groove XML Icon Handler"
-> {HKLM...CLSID} = "Groove XML Icon Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{16F3DD56-1AF5-4347-846D-7C10C4192619}" = "Groove Explorer Icon Overlay 3 (GFS Folder)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 3 (GFS Folder)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}" = "Groove Explorer Icon Overlay 2 (GFS Stub)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2 (GFS Stub)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}" = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{99FD978C-D287-4F50-827F-B2C658EDA8E7}" = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{920E6DB1-9907-4370-B3A0-BAFC03D81399}" = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL" [MS]
"{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C}" = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
-> {HKLM...CLSID} = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\msohevi.dll" [MS]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
-> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
-> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"
-> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
MyPhoneExplorer\(Default) = "{6863F1C7-E13A-481E-BF9C-5C8F01AF74E5}"
-> {HKLM...CLSID} = "MyPhoneExplorer_ShellEx.ShellExt"
\InProcServer32\(Default) = "C:\Programme\MyPhoneExplorer\DLL\ShellMgr.dll" ["F.J. Wechselberger"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Standard Benutzer" & "All Users" startup folders:
-------------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
<<!>> "MSI US54SE 802.11 b+g USB Stick Utility.lnk.disabled" [null data]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Groove Folder Synchronization"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."]

{2670000A-7350-4F3C-8081-5663EE0C6C49}\
"ButtonText" = "An OneNote senden"
"MenuText" = "An OneNote s&enden"
"CLSIDExtension" = "{48E73304-E1D6-4330-914C-F5F514E3486C}"
-> {HKLM...CLSID} = "Send to OneNote from Internet Explorer button"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll" [MS]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Research"

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Acronis Scheduler2 Service, AcrSch2Svc, ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"" ["Acronis"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
IBM Rapid Restore Ultra Service, IBM Rapid Restore Ultra Service, ""C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe"" [empty string]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]
STI Simulator, STI Simulator, "C:\WINDOWS\System32\PAStiSvc.exe" [null data]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Send To Microsoft OneNote Monitor\Driver = "msonpmon.dll" [MS]


---------- (launch time: 2007-10-15 21:17:17)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 71 seconds, including 17 seconds for message boxes)

Hi,

nein gehe nicht davon aus, dass das am 14.10.2007 08:59 passiert ist. Gehe nur davon aus, dass an diesem Zeitpunkt die Backdoor das letzte mal gestartet ist. Ich habe schon Backdoors gehabt, die sich die MSWINSCK.OCX mitbringen und sie bei jedem Start erneut in system32 legen, damit wird dann auch das Datum aktualisiert.

Gruß, Karl

Zitat:

Zitat von KarlKarl

Hi,

nein gehe nicht davon aus, dass das am 14.10.2007 08:59 passiert ist. Gehe nur davon aus, dass an diesem Zeitpunkt die Backdoor das letzte mal gestartet ist. Ich habe schon Backdoors gehabt, die sich die MSWINSCK.OCX mitbringen und sie bei jedem Start erneut in system32 legen, damit wird dann auch das Datum aktualisiert.

Gruß, Karl

Guter Hinweis,
also kann es sein, dass das Teil schon länger auf meinem System ist und nur da zum letzten mal aktiv war.

Oha, das wusste ich auch noch nicht @ KarlKarl,
danke für den Einwand.
Aber hättest doch wenigstenz die Logs von ihm
durch schauen können, das ist immer so viel.
Nichts desto trotz hab' ich nichts auffälliges gefunden.

Tue mir bitte den Gefallen und werte folgende Datei aus:
* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. lade die Seite von Virustotal (alternativ Jotti)
7. lade in der dafür vorgesehen Box folgende Datei(en) hoch

Zitat:

C:\WINDOWS\system32\shmgrate.exe

8. Warte die Auswertung ab
9. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

Beim Googlen treffe ich bei jedem User auf einen Trojaner, jedoch
steht wiederrum oft da, dass sie zum System gehört. Machst du
das bitte?

mfg Cleriker

Zitat:

Zitat von Cleriker

Aber hättest doch wenigstenz die Logs von ihm
durch schauen können, das ist immer so viel.

Hab ich auch, da ich da aber nichts aufregendes gefunden habe, habe ich es nicht rein geschrieben. Bei Tcpview ist mir zwar die Ansicht ohne die Übersetzung in Namen lieber, geht aber auch so.

Code: Alles auswählenAufklappen

ATTFilter

14.10.2007 08:59 109.248 MSWINSCK.OCX
14.10.2007 00:16 53.760 zlib.dll
         

Die erste ist die bereits erwähnte Datei, die zweite kann auch von der Malware mitgebracht worden sein. Ist (dem Namen und der Größe nach) eine harmlose Freeware-DLL für ZIP-Kompression, die überall gerne eingesetzt wird. Man kann sie mal probeweise entfernen, sollte aber ein Backup haben, für den Fall dass ein anderes Programm sie dann vermisst.

Die Escan-Meldungen sind typische Falschmeldungen, nerviges Thema ohne Ende.

Sieht alles danach aus, dass die aktive Backdoor entfernt ist, was sie aber zurück gelassen hat an Systemveränderungen wissen wir nicht.

C:\WINDOWS\system32\shmgrate.exe aus dem Silentrunners ist ein ganz normaler Eintrag, der in jedem Windows vorhanden ist.

Btw: Hier ist doch Acronis Trueimage installiert. Wofür macht man denn ein Image seines Systems, wenn nicht, um es in einem solchen Fall zurückzuspielen?

Zitat:

Hab ich auch, da ich da aber nichts aufregendes gefunden habe, habe ich es nicht rein geschrieben.

Oh sorry, das kahm erst nicht so rüber . . .egal

Zitat:

C:\WINDOWS\system32\shmgrate.exe aus dem Silentrunners ist ein ganz normaler Eintrag, der in jedem Windows vorhanden ist.

ja, denke ich inzwischen auch, aber . . .
C:\WINDOWS\system32\shmgrate.exe -> Trojan.W32.GASTER

mfg Cleriker

Zitat:

Zitat von Cleriker

Tue mir bitte den Gefallen und werte folgende Datei aus:
* Dateien Online Überprüfen
9. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

Beim Googlen treffe ich bei jedem User auf einen Trojaner, jedoch
steht wiederrum oft da, dass sie zum System gehört. Machst du
das bitte?

mfg Cleriker

Hier die Ergebnisse:

Jotti

Datei: shmgrate.exe
Auslastung: 0% 100%
Status: OK
Entdeckte Packprogramme:
-
Bit9 rapportiert: No threat detected (more info)

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
Sophos Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Und jetzt noch Virustotal mit Hash und Dateigröße:

AhnLab-V3 2007.10.20.0 2007.10.19 -
AntiVir 7.6.0.27 2007.10.19 -
Authentium 4.93.8 2007.10.19 -
Avast 4.7.1051.0 2007.10.19 -
AVG 7.5.0.488 2007.10.19 -
BitDefender 7.2 2007.10.19 -
CAT-QuickHeal 9.00 2007.10.19 -
ClamAV 0.91.2 2007.10.17 -
DrWeb 4.44.0.09170 2007.10.19 -
eSafe 7.0.15.0 2007.10.15 -
eTrust-Vet 31.2.5223 2007.10.19 -
Ewido 4.0 2007.10.19 -
FileAdvisor 1 2007.10.19 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.19 -
F-Secure 6.70.13030.0 2007.10.19 -
Ikarus T3.1.1.12 2007.10.19 -
Kaspersky 7.0.0.125 2007.10.19 -
McAfee 5145 2007.10.19 -
Microsoft 1.2908 2007.10.19 -
NOD32v2 2604 2007.10.19 -
Norman 5.80.02 2007.10.19 -
Panda 9.0.0.4 2007.10.19 -
Prevx1 V2 2007.10.19 -
Rising 19.45.42.00 2007.10.19 -
Sophos 4.22.0 2007.10.19 -
Sunbelt 2.2.907.0 2007.10.19 -
Symantec 10 2007.10.19 -
TheHacker 6.2.9.100 2007.10.19 -
VBA32 3.12.2.4 2007.10.19 -
VirusBuster 4.3.26:9 2007.10.19 -
Webwasher-Gateway 6.6.1 2007.10.19 -

weitere Informationen

File size: 42496 bytes
MD5: c836f4c95314d69b9c799f722199c8fb
SHA1: 72cf02746efdcd7e61733ed76d02f6f66061356c

Könnt ihr damit was anfangen?

Kann ich

Meine shmgrate.exe hat den gleichen MD5 und ich bilde mir ein, keinen W32/Gaster zu haben

Zitat:

Zitat von Cleriker

* Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die
letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem
nächsten Beitrag ein.


Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\

15.10.2007 21:22 43 filelist.txt
15.10.2007 21:03 1.332.203.520 hiberfil.sys
15.10.2007 21:03 390.070.272 pagefile.sys
15.10.2007 20:57 0 23990098.$$$
14.10.2007 09:30 8.253 ComboFix.txt

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS

15.10.2007 21:04 0 0.log
15.10.2007 21:04 159 wiadebug.log
15.10.2007 21:04 2.052.738 WindowsUpdate.log
15.10.2007 21:04 50 wiaservc.log
15.10.2007 21:04 54.156 QTFont.qfn
15.10.2007 21:03 2.048 bootstat.dat
15.10.2007 19:29 50 Lic.xxx
15.10.2007 19:26 298.382 ntbtlog.txt
15.10.2007 19:25 32.574 SchedLgU.Txt
14.10.2007 16:04 506.144 setupapi.log
13.10.2007 08:55 839 win.ini
12.10.2007 08:05 69.880 iis6.log
12.10.2007 08:05 157.127 comsetup.log
12.10.2007 08:05 95.586 ntdtcsetup.log
12.10.2007 08:05 181.242 tsoc.log
12.10.2007 08:05 1.393 imsins.log
12.10.2007 08:05 24.684 ocmsn.log
12.10.2007 08:05 7.705 KB933729.log
12.10.2007 08:05 240.173 ocgen.log
12.10.2007 08:05 22.637 msgsocm.log
12.10.2007 08:05 444.911 FaxSetup.log
12.10.2007 08:05 17.346 updspapi.log
08.10.2007 17:25 218.408 setupact.log
28.09.2007 09:06 135.168 catchme.exe
02.09.2007 20:44 1.355 imsins.BAK
02.09.2007 20:44 9.810 KB885250.log
31.08.2007 16:08 42.896 KB899587.log
31.08.2007 16:07 42.397 KB927779.log
31.08.2007 16:07 39.389 KB927802.log
31.08.2007 16:07 38.989 KB922819.log
31.08.2007 16:07 38.059 KB923414.log
31.08.2007 16:07 38.742 KB928255.log
31.08.2007 16:07 38.689 KB931784.log
31.08.2007 16:06 36.565 KB911927.log
31.08.2007 16:06 35.567 KB901017.log
31.08.2007 16:06 35.589 KB899591.log
31.08.2007 16:06 25.654 KB923723.log
31.08.2007 16:06 36.201 KB920685.log
31.08.2007 16:06 38.329 KB923980.log
31.08.2007 16:06 37.714 KB936021.log
31.08.2007 16:06 36.428 KB911562.log
31.08.2007 16:06 34.647 KB924667.log
31.08.2007 16:05 36.565 KB924270.log
31.08.2007 16:05 33.963 KB924496.log
31.08.2007 16:05 35.400 KB921503.log
31.08.2007 16:05 34.590 KB938829.log
31.08.2007 16:05 34.437 KB925902.log
31.08.2007 16:05 32.300 KB920670.log
31.08.2007 16:05 31.217 KB891781.log
31.08.2007 16:05 34.864 KB902400.log
31.08.2007 16:04 28.714 KB926436.log
31.08.2007 16:04 29.909 KB930178.log
31.08.2007 16:04 27.172 KB919007.log
31.08.2007 16:04 28.961 KB914388.log
31.08.2007 16:04 27.697 KB917344.log
31.08.2007 16:04 26.706 KB905414.log
31.08.2007 16:04 27.452 KB917953.log
31.08.2007 16:04 28.494 KB932168.log
31.08.2007 16:04 26.660 KB901214.log
31.08.2007 16:04 24.495 KB923191.log
31.08.2007 16:03 18.078 KB922582.log
31.08.2007 16:03 23.468 KB918118.log
31.08.2007 16:03 23.567 KB926255.log
31.08.2007 16:03 23.917 KB900725.log
31.08.2007 16:03 22.820 KB938127.log
31.08.2007 16:03 23.048 KB920213.log
31.08.2007 16:03 21.889 KB935840.log
31.08.2007 16:03 21.325 KB904706.log
31.08.2007 16:03 21.924 KB908531.log
31.08.2007 16:02 15.436 KB923689.log
31.08.2007 16:02 25.188 KB937143.log
31.08.2007 16:02 18.448 KB935839.log
31.08.2007 16:02 18.001 KB908519.log
31.08.2007 16:01 18.691 KB920683.log
31.08.2007 16:01 17.184 KB928843.log
14.08.2007 23:12 0 mngui.INI
14.08.2007 22:51 57.918 DPINST.LOG
14.08.2007 22:27 119.583 wmsetup.log

----- System ---
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\system


----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\system32

14.10.2007 16:03 2.550 Uninstall.ico
14.10.2007 16:03 1.406 Help.ico
14.10.2007 16:03 30.590 pavas.ico
14.10.2007 08:59 109.248 MSWINSCK.000
14.10.2007 00:16 53.760 zlib.dll
12.10.2007 07:57 2.278 wpa.dbl
05.10.2007 10:07 279.552 swreg.exe
02.09.2007 20:34 265.416 FNTCACHE.DAT
18.08.2007 22:50 0 mapisvc.inf

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\Prefetch

15.10.2007 21:22 33.686 NOTEPAD.EXE-336351A9.pf
15.10.2007 21:22 27.354 CMD.EXE-087B4001.pf
15.10.2007 21:22 5.502 MORE.COM-32DCB7E4.pf
15.10.2007 21:22 10.806 REG.EXE-0D2A95F7.pf
15.10.2007 21:22 10.838 FINDSTR.EXE-0CA6274B.pf
15.10.2007 21:22 17.610 VERCLSID.EXE-3667BD89.pf
15.10.2007 21:17 42.620 WMIPRVSE.EXE-28F301A9.pf
15.10.2007 21:17 29.132 WSCRIPT.EXE-32960AB9.pf
15.10.2007 21:05 20.784 RUNDLL32.EXE-48E23B49.pf
15.10.2007 21:05 86.726 FIREFOX.EXE-1D57670A.pf
15.10.2007 21:05 19.646 EXPLORER.EXE-082F38A9.pf
15.10.2007 21:05 25.332 WUAUCLT.EXE-399A8E72.pf
15.10.2007 21:05 17.816 ZDWLAN.EXE-1126074B.pf
15.10.2007 21:05 586.188 NTOSBOOT-B00DFAAD.pf
15.10.2007 19:23 14.912 WISPTIS.EXE-0C21B942.pf
15.10.2007 19:23 56.026 ACRORD32.EXE-2525A870.pf
15.10.2007 19:18 16.662 CCLEANER.EXE-065E2F3F.pf
15.10.2007 19:16 25.342 CCSETUP201.EXE-3211894B.pf
15.10.2007 19:16 20.950 HIJACKTHIS.EXE-0A4EAF9C.pf
15.10.2007 19:15 29.022 RUNDLL32.EXE-34BFB767.pf
15.10.2007 19:04 14.554 REGEDIT.EXE-1B606482.pf
15.10.2007 19:03 28.794 RUNDLL32.EXE-27FF3EFB.pf
15.10.2007 19:02 39.694 AVNOTIFY.EXE-22AE9451.pf
15.10.2007 19:01 52.872 UPDATE.EXE-13D57D76.pf
15.10.2007 19:01 14.404 PREUPD.EXE-358AA1C1.pf
15.10.2007 19:01 58.186 AVCENTER.EXE-37584419.pf
14.10.2007 20:51 14.754 LOGONUI.EXE-0AF22957.pf
14.10.2007 19:59 167.138 layout.ini
14.10.2007 17:18 16.420 PREVXCSI.EXE-308C6556.pf
14.10.2007 17:18 12.798 PREVXCSIFREE.EXE-04E64BF9.pf
14.10.2007 17:18 67.302 AVSCAN.EXE-05AECC0E.pf
14.10.2007 16:09 6.648 PATCH.EXE-214982C6.pf
14.10.2007 16:06 25.882 TSC.EXE-17468B7E.pf
14.10.2007 16:05 19.964 IPCONFIG.EXE-2395F30B.pf
14.10.2007 16:04 16.670 GUARDGUI.EXE-1BD45C30.pf
14.10.2007 15:11 39.446 RUNDLL32.EXE-36753CDB.pf
14.10.2007 13:38 13.822 CTFMON.EXE-0E17969B.pf
14.10.2007 13:38 70.888 IEXPLORE.EXE-2CA9778D.pf
14.10.2007 13:38 27.442 RUNDLL32.EXE-3EF62648.pf
14.10.2007 13:34 13.610 IPODSERVICE.EXE-233792DA.pf
14.10.2007 12:33 35.252 SDUPDATE.EXE-30CF90C0.pf
14.10.2007 12:31 35.676 SPYBOTSD.EXE-1D495A65.pf
14.10.2007 10:53 15.282 TASKMGR.EXE-20256C55.pf
14.10.2007 10:44 20.094 IMAPI.EXE-0BF740A4.pf
14.10.2007 10:44 15.588 ALG.EXE-0F138680.pf
14.10.2007 10:44 18.064 PYTHON.EXE-28B11BC1.pf
14.10.2007 09:28 4.210 SED.CFEXE-268D7E58.pf
14.10.2007 09:28 8.350 SWREG.CFEXE-2BF4FFCD.pf
14.10.2007 09:28 4.048 GREP.CFEXE-20443039.pf
14.10.2007 09:28 11.186 NIRCMD.CFEXE-19FF4781.pf
14.10.2007 09:26 8.468 NIRCMD.EXE-1F7FED22.pf
14.10.2007 09:26 55.188 COMBOFIX.EXE-3220F68D.pf

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\tasks

15.10.2007 21:04 324 PMTask.job
15.10.2007 21:04 6 SA.DAT

----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\Temp


----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\DOKUME~1\STANDA~1\LOKALE~1\Temp

14.10.2007 16:04 208 java_install_reg.log
14.10.2007 14:20 0 lf_ir_1192364406.log
14.10.2007 09:33 112.152 datfind.txt