Trojaner-Board - Hilfe bei BDS/HacDef.073.B1

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe bei BDS/HacDef.073.B1 (https://www.trojaner-board.de/8554-hilfe-bds-hacdef-073-b1.html)

Hilfe bei BDS/HacDef.073.B1

Hallo liebe Leute,

seit einigen Tagen bekomme ich von meinem Antivir die Meldung über ein BDS/HacDef.073.B1. Wer kann mir sagen was das ist und wie ich es wieder los werde?

Hallo fussballoppa,

Troj/HacDef- ist ein Trojaner mit Backdoor-Eigenschaften.

Poste bitte mittels copy&paste ein Hijack This Logfile: http://www.trojaner-board.de/51130-a...ijackthis.html ... und führe den eScan laut Anweisung online geupdatet, offline im abgesicherten Modus aus. Der Scan dauert ca 1 Stunde. Teile uns zusammen mit dem Hijack This Logfile das Ergebnis in Puncto auf Deinem System gefundener Viren mit: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!" Der eScan löscht keine Viren, das wird von Hand gemacht.

SD

So, nun hab ich ein HijackThis Logfile und ein Escan gemacht. Was soll ich jetzt machen?

Mon Oct 18 14:27:49 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Oct 18 14:27:49 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\A0011492.SYS.VIR
Mon Oct 18 14:27:49 2004 => File C:\Programme\AVPersonal\INFECTED\A0011492.SYS.VIR infected by "Backdoor.HacDef.073.b" Virus. Action Taken: File Renamed.
Mon Oct 18 15:07:44 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP1\A0000191.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: File Deleted.
Mon Oct 18 15:10:21 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP16\A0011507.sys infected by "Backdoor.HacDef.073.b" Virus. Action Taken: File Renamed.
Mon Oct 18 15:10:21 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP16\A0011518.sys infected by "Backdoor.HacDef.073.b" Virus. Action Taken: File Renamed.
Mon Oct 18 15:10:44 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP17\A0011843.sys infected by "Backdoor.HacDef.073.b" Virus. Action Taken: File Renamed.
Mon Oct 18 15:10:59 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP17\A0012054.sys infected by "Backdoor.HacDef.073.b" Virus. Action Taken: File Renamed.
Mon Oct 18 15:10:59 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP17\A0013054.sys infected by "Backdoor.HacDef.073.b" Virus. Action Taken: File Renamed.
Mon Oct 18 15:11:00 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP17\A0013060.sys infected by "Backdoor.HacDef.073.b" Virus. Action Taken: File Renamed.
Mon Oct 18 15:11:01 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP18\A0013066.sys infected by "Backdoor.HacDef.073.b" Virus. Action Taken: File Renamed.
Mon Oct 18 15:11:15 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP18\A0013302.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
Mon Oct 18 15:11:17 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP18\A0013304.exe tagged as not-a-virus:RiskWare.Tool.Hideout. No Action Taken.
Mon Oct 18 15:11:17 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP18\A0013305.exe tagged as not-a-virus:NetTool.PsKill. No Action Taken.
Mon Oct 18 15:11:17 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP18\A0013307.exe infected by "Backdoor.HacDef.f" Virus. Action Taken: File Renamed.
Mon Oct 18 15:11:17 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP18\A0013307.exe infected by "Backdoor.HacDef.f" Virus. Action Taken: File Renamed.
Mon Oct 18 15:14:19 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP23\A0015624.exe infected by "Backdoor.Gobot.o" Virus. Action Taken: File Renamed.
Mon Oct 18 15:17:05 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP24\A0017464.exe infected by "Backdoor.Gobot.o" Virus. Action Taken: File Renamed.

Mon Oct 18 15:59:00 2004 => ***** Scanning complete. *****

Mon Oct 18 15:59:00 2004 => Total Number of Files Scanned: 101986
Mon Oct 18 15:59:00 2004 => Total Number of Virus(es) Found: 15
Mon Oct 18 15:59:00 2004 => Total Number of Disinfected Files: 0
Mon Oct 18 15:59:00 2004 => Total Number of Files Renamed: 12
Mon Oct 18 15:59:00 2004 => Total Number of Deleted Files: 1
Mon Oct 18 15:59:00 2004 => Total Number of Errors: 2
Mon Oct 18 15:59:00 2004 => Time Elapsed: 01:47:20
Mon Oct 18 15:59:00 2004 => Virus Database Date: 2004/10/18
Mon Oct 18 15:59:00 2004 => Virus Database Count: 106862

Logfile of HijackThis v1.98.2
Scan saved at 17:54:22, on 18.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\unzipped\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Startup: desktop(2).ini
O4 - Startup: desktop(3).ini
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: desktop(2).ini
O4 - Global Startup: desktop(3).ini
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Preispiraten 2.1.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F86B31F-7C5B-4A48-A6C9-7264FBFD7C46}: NameServer = 212.7.148.65 212.7.148.97

@fussballoppa
dein log schaut sauber aus
aber lese doch mal den link genau durch den Shadowdance der gepostet hat
http://www.sophos.de/virusinfo/analy...ojhacdefk.html
chaosman

Hallo fussballoppa,

Zitat:

Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP18\A0013066.sys infected by "Backdoor.HacDef.073.b" Virus. Action Taken: File Renamed.
Mon Oct 18 15:11:15 2004 => File C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP18\A0013302.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP23\A0015624.exe infected by "Backdoor.Gobot.o" Virus. Action Taken: File Renamed.

Du hattest 3 sehr gefährliche Backdoor-Viren auf dem System. Das bedeutet, dass Dein System kompromittiert ist. Es gibt keine sichere Möglichkeit, die Spuren die diese Viren im befallenen System hinterlassen, so zu entfernen, dass das System Deines Computers wieder als sicher betrachtet werden kann. Das System Deines Computers befindet sich möglicherweise in fremder Hand.

Ich gebe Dir hier die Links, damit Du weisst, was diese Backdoor-Viren anrichten können, schau auch unter "Erläuterung" nach: Backdoor.Win32.Rbot.gen---Backdoor.Gobot.----Backdoor.HacDef.-

Die einzig verantwortbare Empfehlung linke ich Dir hier ein: Die sauberste Lösung

SD

@Shadowdance &

@chaosman

Nach dem ich meinen Rechner richtig "platt" gemacht habe, ließ ich eScan nochmal rüber (ohne eine einzige Meldung) und mein neuestes HiThis Jack Logfile könnt Ihr hier auch gleich bestaunen. Ich den so müsste es dann auch sauber sein.
Ich danke Euch beiden für Eure kompetente und schnelle Hilfe! Vielen Dank!

Euer fussballoppa aus dem hohen Norden

Logfile of HijackThis v1.98.2
Scan saved at 00:19:56, on 19.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\eMule.de\emule.exe
C:\MOZILL~1.3-D\MOZILLA\MOZILLA.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Cheffe\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0375F44-F99A-4B6A-92EA-61A4C8A45D5D}: NameServer = 212.7.148.65 212.7.148.97

@Shadowdance &

@chaosman

Nach dem ich meinen Rechner richtig "platt" gemacht habe, ließ ich eScan nochmal rüber (ohne eine einzige Meldung) und mein neuestes HiThis Jack Logfile könnt Ihr hier auch gleich bestaunen. Ich denke
so müsste es dann auch sauber sein.
Ich danke Euch beiden für Eure kompetente und schnelle Hilfe! Vielen Dank!

Euer fussballoppa aus dem hohen Norden

Logfile of HijackThis v1.98.2
Scan saved at 00:19:56, on 19.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\eMule.de\emule.exe
C:\MOZILL~1.3-D\MOZILLA\MOZILLA.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Cheffe\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0375F44-F99A-4B6A-92EA-61A4C8A45D5D}: NameServer = 212.7.148.65 212.7.148.97

Nach der Mühe, die ich mir gestern gemacht hatte (Festplatte formatieren, Neuinstallation, diverse Programme neu installiert) habe ich heute früh meinen Rechner im abgesicherten Modus nochmal einer Prüfung mit eScan unterzogen.
Ich hatte zwar keine Virusinformationen, aber dafür eine Menge anderer Fehler auf dem System. Ich log sie hier auch gleich mal mit rein. Kann mir jemand sagen, ob das beunruhigend ist? Bin ich meine BD-Programme noch nicht los?

Tue Oct 19 07:38:37 2004 => ***** Scanning Service Files *****
Tue Oct 19 07:38:38 2004 => Scanning HKLM\SYSTEM\CurrentControlSet\Services
Tue Oct 19 07:38:38 2004 => Scanning File C:\WINDOWS\system32\DRIVERS\a347bus.sys
Tue Oct 19 07:38:38 2004 => Scanning File C:\WINDOWS\system32\Drivers\a347scsi.sys
Tue Oct 19 07:38:38 2004 => Scanning File C:\WINDOWS\system32\DRIVERS\ACPI.sys
Tue Oct 19 07:38:38 2004 => Scanning File C:\WINDOWS\System32\drivers\afd.sys
Tue Oct 19 07:38:38 2004 => Scanning File C:\WINDOWS\system32\DRIVERS\agp440.sys
Tue Oct 19 07:38:38 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Tue Oct 19 07:38:38 2004 => Scanning File C:\WINDOWS\System32\alg.exe
Tue Oct 19 07:38:38 2004 => Scanning File C:\Programme\AVPersonal\AVGUARD.EXE
Tue Oct 19 07:38:38 2004 => Scanning File C:\WINDOWS\system32\svchost.exe
Tue Oct 19 07:38:38 2004 => Scanning File C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
Tue Oct 19 07:38:38 2004 => Scanning File C:\WINDOWS\system32\DRIVERS\asyncmac.sys
Tue Oct 19 07:38:38 2004 => Scanning File C:\WINDOWS\system32\DRIVERS\atapi.sys
Tue Oct 19 07:38:38 2004 => ERROR!!! ScanFile Fails...
Tue Oct 19 07:38:38 2004 => Scanning File C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
Tue Oct 19 07:38:39 2004 => Scanning File C:\WINDOWS\system32\DRIVERS\atmarpc.sys
Tue Oct 19 07:38:39 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Tue Oct 19 07:38:39 2004 => Scanning File C:\WINDOWS\system32\DRIVERS\audstub.sys
Tue Oct 19 07:38:39 2004 => Scanning File C:\PROGRAMME\AVPERSONAL\AVGNTDD.SYS
Tue Oct 19 07:38:39 2004 => Scanning File C:\Programme\AVPersonal\AVWUPSRV.EXE

Tue Oct 19 07:51:51 2004 => Scanning Folder: C:\WINDOWS\system32\config\*.*
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\AppEvent.Evt
Tue Oct 19 07:51:52 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\AppEvent.Evt
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\default
Tue Oct 19 07:51:52 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\default.LOG
Tue Oct 19 07:51:52 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\default.sav
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\SAM
Tue Oct 19 07:51:52 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\SAM.LOG
Tue Oct 19 07:51:52 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\SecEvent.Evt
Tue Oct 19 07:51:52 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SecEvent.Evt
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\SECURITY
Tue Oct 19 07:51:52 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\SECURITY.LOG
Tue Oct 19 07:51:52 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\software
Tue Oct 19 07:51:52 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\software.LOG
Tue Oct 19 07:51:52 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\software.sav
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\SysEvent.Evt
Tue Oct 19 07:51:52 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SysEvent.Evt
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\system
Tue Oct 19 07:51:52 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system
Tue Oct 19 07:51:52 2004 => Scanning File C:\WINDOWS\system32\config\system.LOG
Tue Oct 19 07:51:52 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG

Tue Oct 19 07:53:29 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\drivers\atapi.sys

Tue Oct 19 07:55:21 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Tue Oct 19 07:55:21 2004 => Scanning File C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP
Tue Oct 19 07:55:21 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP
Tue Oct 19 07:55:21 2004 => Scanning File C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER
Tue Oct 19 07:55:21 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER
Tue Oct 19 07:55:21 2004 => Scanning File C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Tue Oct 19 07:55:21 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Tue Oct 19 07:55:21 2004 => Scanning File C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Tue Oct 19 07:55:21 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Tue Oct 19 07:55:21 2004 => Scanning File C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA
Tue Oct 19 07:55:21 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA
Tue Oct 19 07:55:21 2004 => Scanning File C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
Tue Oct 19 07:55:21 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP

Tue Oct 19 07:56:34 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Cookies\index.dat

Tue Oct 19 07:56:35 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
Tue Oct 19 07:56:35 2004 => Scanning File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Tue Oct 19 07:56:35 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG

Tue Oct 19 07:56:35 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\index.dat

Tue Oct 19 07:56:36 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\Verlauf\History.IE5\index.dat
Tue Oct 19 07:56:36 2004 => Scanning Folder: C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung\*.*
Tue Oct 19 07:56:36 2004 => Scanning File C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT
Tue Oct 19 07:56:36 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\NTUSER.DAT
Tue Oct 19 07:56:36 2004 => Scanning File C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT.LOG
Tue Oct 19 07:56:36 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\NTUSER~1.LOG

Oct 19 07:58:08 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
Tue Oct 19 07:58:08 2004 => Scanning File C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Tue Oct 19 07:58:08 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG

Tue Oct 19 07:58:09 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT
Tue Oct 19 07:58:09 2004 => Scanning File C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
Tue Oct 19 07:58:09 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG

Tue Oct 19 07:59:04 2004 => ERROR!!! ScanFile fails for C:\pagefile.sys

Tue Oct 19 08:03:50 2004 => ERROR!!! FindFirstFile For C:\System Volume Information\*.* Failed!!! Reason is Zugriff verweigert (0x5)