Seltsame Warnmeldungen von KAV...

Kurt Dunzinger · 06.11.2007, 17:56

Hallo,
Hab da jede Menge kryptischer Meldungen im LOG von KAV gefunden:
ein kleiner Auszug:

Zitat:

06.11.2007 02:05:04 Prozess C:\WINDOWS\system32\winlogon.exe (PID: 1464): verdächtige Aktion. Versuch zum Lesen eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{e437bc1c-aa7d-11d2-a382-00c04f991e27}, Wert NoUserPolicy, Daten 0x00000001 (1)).
06.11.2007 02:05:04 Prozess C:\WINDOWS\system32\winlogon.exe (PID: 1464): verdächtige Aktion. Versuch zum Lesen eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{e437bc1c-aa7d-11d2-a382-00c04f991e27}, Wert NoGPOListChanges, Daten 0x00000000 (0)).
06.11.2007 02:24:08 Prozess C:\Programme\Microsoft Office\Office\FINDFAST.EXE (PID: 2228): verdächtige Aktion. Versuch zum Lesen eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_USERS\S-1-5-21-1960408961-842925246-682003330-500\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Wert Start Menu, Daten %USERPROFILE%\Startmenü).
06.11.2007 02:24:08 Prozess C:\Programme\Microsoft Office\Office\FINDFAST.EXE (PID: 2228): verdächtige Aktion. Versuch zum Lesen eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Wert Common Start Menu, Daten %ALLUSERSPROFILE%\Startmenü).
06.11.2007 02:36:59 Prozess C:\WINDOWS\system32\notepad.exe (PID: 5108): verdächtige Aktion. Versuch zum Lesen eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32, Wert msacm.l3acm, Daten C:\WINDOWS\system32\l3codeca.acm).
06.11.2007 02:36:59 Prozess C:\WINDOWS\system32\notepad.exe (PID: 5108): verdächtige Aktion. Versuch zum Lesen eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32, Wert msacm.l3acm, Daten C:\WINDOWS\system32\l3codeca.acm).
gefunden: potentiell gefährliche Software not-a-virus:RemoteAdmin.Win32.WinVNC-based.c Datei: F:\System Volume Information\_restore{AAAFE53A-3181-4F22-93E2-5F71F6E651ED}\RP46\A0003648.exe//file61//UPX//vnchooks.dll

Was soll ich davon halten?
Bei der letzten Meldung handelt es sich um eine Datei, die die Fernwartung eines Programmes ermöglicht, aber seit Installation nie in Betrieb war. Wenn ich die mal brauchen würde, müßte ich Remotzugriff gewähren...
Die Meldungen kommen vom Proaktiven Schutz, könnten also durchaus auch Fehlalarme sein, da hier nur verdächtiges Verhalten überwacht wird.
Allerdings macht mich stutzig, daß ich nun schon zum zweiten mal den Remotzugriff in der Firewall ausgeschaltet hab.
Entweder wurde der durch eine Installation eigeschaltet, oder es geht merkwürdiges vor...

mfg
Kurt

**Sunny** · 06.11.2007, 18:03

Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

Kurt Dunzinger · 06.11.2007, 18:17

Also, erstmal das HJT-File:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 18:18:44, on 06.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\JMRaidSetup.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Nero\Nero8\InCD\NBHGui.exe
C:\Programme\Nero\Nero8\InCD\InCD.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
C:\Program Files\Hewlett-Packard\hp print screen utility\PrnSys.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\HP\Digital Imaging\bin\hpotdd01.exe
C:\Programme\TomTom HOME\TomTomHOME.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Nero\Nero8\InCD\InCDsrv.exe
D:\bin\mysqld-nt.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
D:\bin\winmysqladmin.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\VMware\VMware Server\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\VMware\VMware Server\vmserverdWin32.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\HP\Digital Imaging\Bin\hpqSTE08.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\CAO-Faktura\cao_faktura.exe
C:\WINDOWS\system32\NOTEPAD.EXE
F:\PROGRAMME\hijackthis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero8\InCD\InCD.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [PrnSys Executable] C:\Program Files\Hewlett-Packard\hp print screen utility\PrnSys.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\HP\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - Startup: WinMySQLadmin.lnk = D:\bin\winmysqladmin.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1193674862265
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\******\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: MySql - Unknown owner - D:/bin/mysqld-nt.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmserverdWin32.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

Hab's mal etwas kleiner gemacht, damit es die Seite nicht sprengt.
Rest folgt in Kürze.

mfg
Kurt

**Sunny** · 06.11.2007, 18:19

Zitat:

Zitat von Kurt Dunzinger

Hab's mal etwas kleiner gemacht, damit es die Seite nicht sprengt.
Rest folgt in Kürze.

mfg
Kurt

Bitte vergrößere das Log wieder, die Seite wird dadurch nicht gesprengt, jedoch mein eigenes Sehvermögen.

Kurt Dunzinger · 06.11.2007, 18:37

Hier nun die Filelist:
Ich denke, da der Rechner am 29.10 2007 neu aufgesetzt wurde, muß ich nicht weiter zurückgehen, da ein vorheriges Änderungsdatum eher unwahrscheinlich ist...

Zitat:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3C92-3759

Verzeichnis von C:\

06.11.2007 16:56 4.916 ffastun.ffa
06.11.2007 16:56 270.336 ffastun.ffo
06.11.2007 16:56 1.777.664 ffastun0.ffx
06.11.2007 16:56 704.512 ffastun.ffl
03.11.2007 13:42 632 hpfr5100.log
30.10.2007 23:47 1.024 .rnd
29.10.2007 16:23 197 csb.log
29.10.2007 16:23 419 RHDSetup.log
29.10.2007 16:10 0 MSDOS.SYS
29.10.2007 16:10 0 AUTOEXEC.BAT
29.10.2007 16:10 0 CONFIG.SYS
29.10.2007 16:10 0 IO.SYS
29.10.2007 16:02 209 boot.ini
10.08.2004 13:00 251.184 ntldr
10.08.2004 13:00 47.564 NTDETECT.COM
10.08.2004 13:00 4.952 bootfont.bin
16 Datei(en) 3.063.609 Bytes
0 Verzeichnis(se), 26.978.701.312 Bytes frei

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3C92-3759

Verzeichnis von C:\WINDOWS\system32

06.11.2007 16:56 20.683 ffastlog.txt
05.11.2007 19:13 13.646 wpa.dbl
04.11.2007 23:36 251.880 FNTCACHE.DAT
30.10.2007 23:48 447.502 perfh009.dat
30.10.2007 23:48 78.662 perfc009.dat
30.10.2007 23:48 471.290 perfh007.dat
30.10.2007 23:48 92.168 perfc007.dat
30.10.2007 23:48 1.097.700 PerfStringBackup.INI
30.10.2007 01:27 129.082 TZLog.log
29.10.2007 17:15 13.646 wpa.bak
29.10.2007 16:27 146.650 BuzzingBee.wav
29.10.2007 16:27 940.794 LoopyMusic.wav
29.10.2007 16:12 386 $winnt$.inf
29.10.2007 16:10 2.951 CONFIG.NT
29.10.2007 16:10 16.832 amcompat.tlb
29.10.2007 16:10 23.392 nscompat.tlb
29.10.2007 16:09 488 logonui.exe.manifest
29.10.2007 16:09 488 WindowsLogon.manifest
29.10.2007 16:09 749 sapi.cpl.manifest
29.10.2007 16:09 749 ncpa.cpl.manifest
29.10.2007 16:09 749 nwc.cpl.manifest
29.10.2007 16:09 749 cdplayer.exe.manifest
29.10.2007 16:09 749 wuaucpl.cpl.manifest
29.10.2007 16:07 21.740 emptyregdb.dat
29.10.2007 16:01 0 h323log.txt
27.09.2007 22:19 18.089.592 MRT.exe
26.09.2007 18:05 12.288 advpack.dll.mui
06.09.2007 14:40 106.496 vmnetdhcp.exe
06.09.2007 14:40 37.888 vmnetbridge.dll
06.09.2007 14:40 5.120 vnetinst.dll
06.09.2007 14:40 364.631 vnetlib.dll
06.09.2007 14:40 135.168 vmnat.exe
03.12.1996 13:50 37.376 VEN2232.OLB
2098 Datei(en) 438.665.098 Bytes
0 Verzeichnis(se), 26.978.689.024 Bytes frei

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3C92-3759

Verzeichnis von C:\WINDOWS\Prefetch

06.11.2007 18:26 11.928 FIND.EXE-0EC32F1E.pf
06.11.2007 18:26 31.676 CMD.EXE-087B4001.pf
06.11.2007 18:25 17.600 EXPLORER.EXE-082F38A9.pf
06.11.2007 18:25 19.178 VERCLSID.EXE-3667BD89.pf
06.11.2007 18:18 15.524 NOTEPAD.EXE-336351A9.pf
06.11.2007 18:18 14.016 THIS.EXE-3829051B.pf
06.11.2007 18:18 13.764 DCCPROC.EXE-017B284C.pf
06.11.2007 18:04 13.798 HIJACKTHIS.EXE-21849E29.pf
06.11.2007 16:54 15.092 FINDFAST.EXE-0016AEBE.pf
06.11.2007 16:47 442.868 Layout.ini
06.11.2007 16:21 46.380 DFRGNTFS.EXE-269967DF.pf
06.11.2007 16:21 16.688 DEFRAG.EXE-273F131E.pf
06.11.2007 16:16 19.978 RUNDLL32.EXE-327ED30F.pf
06.11.2007 12:18 27.964 HPTSKMGR.EXE-00829595.pf
06.11.2007 12:18 26.268 HPOSM.EXE-27BA0BA0.pf
06.11.2007 12:00 117.596 CAO_AUTOMAT.EXE-0A4D45BC.pf
06.11.2007 11:39 33.536 SPLAN50.EXE-04AEF860.pf
06.11.2007 11:39 15.524 RUNDLL32.EXE-1EF2A5E1.pf
06.11.2007 10:31 45.348 CAO_FAKTURA.EXE-188DE868.pf
06.11.2007 04:22 29.944 WMIPRVSE.EXE-28F301A9.pf
06.11.2007 04:21 60.592 WUAUCLT.EXE-399A8E72.pf
06.11.2007 02:00 60.724 AVP.EXE-05BE32F4.pf
06.11.2007 01:14 21.226 SPIDER.EXE-2D998CA6.pf
06.11.2007 01:12 73.158 MSIMN.EXE-0B61806C.pf
06.11.2007 01:05 21.866 SNHELPER.EXE-03225131.pf
06.11.2007 01:02 25.026 VMWARE-REMOTEMKS.EXE-054AA414.pf
06.11.2007 01:02 53.698 VMWARE-VMX.EXE-1B02DA22.pf
06.11.2007 01:01 60.464 VMWARE.EXE-0EA46A97.pf
06.11.2007 00:28 77.030 FIREFOX.EXE-1D57670A.pf
06.11.2007 00:25 22.808 HPQTBX01.EXE-230FD145.pf
06.11.2007 00:24 74.618 MSPUB.EXE-334A0015.pf
06.11.2007 00:23 33.202 HPQPPROP.EXE-0F954E17.pf
06.11.2007 00:23 12.328 HPQUSGL.EXE-1D5E2061.pf
06.11.2007 00:22 44.262 WINWORD.EXE-0AEA99D4.pf
06.11.2007 00:21 29.400 HPQDIREC.EXE-1F33DA5D.pf
06.11.2007 00:20 21.300 DLLHOST.EXE-22670901.pf
06.11.2007 00:19 14.030 EHMSAS.EXE-181DA6C9.pf
06.11.2007 00:19 73.096 EHREC.EXE-3B4F59C8.pf
06.11.2007 00:19 30.838 HPRBLOG.EXE-20CD9551.pf
06.11.2007 00:18 61.694 HPQSTE08.EXE-1E91DFAA.pf
06.11.2007 00:18 26.194 DLLHOST.EXE-293D8CC0.pf
06.11.2007 00:18 16.110 ALG.EXE-0F138680.pf
06.11.2007 00:18 55.568 NMIndexStoreSvr.exe-249DD3AC.pf
06.11.2007 00:18 32.264 DLLHOST.EXE-5353C76C.pf
06.11.2007 00:18 47.692 NMINDEXINGSERVICE.EXE-1C758E9B.pf
06.11.2007 00:18 18.020 IMAPI.EXE-0BF740A4.pf
06.11.2007 00:18 10.190 WSCNTFY.EXE-1B24F5EB.pf
06.11.2007 00:18 75.854 VMSERVERDWIN32.EXE-06EE2FA1.pf
06.11.2007 00:18 1.405.388 NTOSBOOT-B00DFAAD.pf
06.11.2007 00:11 14.896 RUNDLL32.EXE-268BFF96.pf
05.11.2007 21:20 14.690 VMNAT.EXE-08B6514E.pf
05.11.2007 21:04 14.116 RUNDLL32.EXE-17ADA507.pf
05.11.2007 21:04 19.422 TASKMGR.EXE-20256C55.pf
05.11.2007 20:44 12.204 RUNDLL32.EXE-14B29E97.pf
05.11.2007 19:10 70.496 IEXPLORE.EXE-2CA9778D.pf
05.11.2007 19:10 22.424 RUNDLL32.EXE-48F4909D.pf
05.11.2007 18:11 158.214 HELPSVC.EXE-2878DDA2.pf
05.11.2007 14:52 3.978 XPICLEANUP.EXE-3306B804.pf
05.11.2007 14:49 19.190 WAB.EXE-3B1FC393.pf
05.11.2007 14:24 18.636 WINMYSQLADMIN.EXE-203C93C6.pf
05.11.2007 14:24 10.990 OSA.EXE-1A10C40B.pf
05.11.2007 14:24 29.602 PHLEAUTORUN.EXE-37FA0475.pf
05.11.2007 14:24 17.468 HPQTRA08.EXE-1DCE361D.pf
05.11.2007 14:24 13.624 OSA.EXE-0082CBE3.pf
05.11.2007 13:17 17.754 SHOWTIME.EXE-0883D9EC.pf
05.11.2007 13:14 13.488 CALC.EXE-02CD573A.pf
05.11.2007 13:11 40.288 MMC.EXE-393F4B82.pf
05.11.2007 13:11 40.758 MMC.EXE-0A5AF4A1.pf
05.11.2007 13:03 42.350 MMC.EXE-22FA564C.pf
05.11.2007 13:02 17.762 RUNDLL32.EXE-3BE2E383.pf
05.11.2007 13:00 34.278 RUNDLL32.EXE-2576181F.pf
05.11.2007 10:35 34.748 MMC.EXE-1EF9AA05.pf
05.11.2007 10:32 49.466 NTVDM.EXE-1A10A423.pf
05.11.2007 10:28 6.854 MORE.COM-32DCB7E4.pf
05.11.2007 10:24 57.892 ACRORD32INFO.EXE-19D979CC.pf
05.11.2007 06:05 14.452 XPINSTALL.EXE-1032B666.pf
04.11.2007 23:38 8.516 VMNETDHCP.EXE-0FC94CF4.pf
04.11.2007 23:29 16.482 RUNDLL32.EXE-14A396BA.pf
04.11.2007 23:24 55.462 HELPCTR.EXE-3862B6F5.pf
04.11.2007 20:56 14.614 RUNDLL32.EXE-43875663.pf
04.11.2007 17:11 30.462 MYSQLFRONT.EXE-0A3929D4.pf
04.11.2007 15:56 14.254 WINMINE.EXE-0A3838A4.pf
04.11.2007 14:33 28.628 CAO_ADMIN.EXE-2E6EDF52.pf
04.11.2007 13:00 16.448 REGEDIT.EXE-1B606482.pf
04.11.2007 00:05 25.354 WMPLAYER.EXE-09969333.pf
03.11.2007 23:57 13.656 RUNDLL32.EXE-451FC2C0.pf
03.11.2007 15:20 44.632 PHOTOSNAPVIEWER.EXE-1DC32D57.pf
03.11.2007 14:44 74.764 TRUEIMAGE.EXE-20EB291E.pf
03.11.2007 14:24 65.448 HPQSCNVW.EXE-1B0B1F3E.pf
03.11.2007 14:23 68.146 COVERDES.EXE-0D3B9B40.pf
03.11.2007 14:23 70.492 NEROSTARTSMART.EXE-0C3E134C.pf
03.11.2007 14:20 26.800 TRUEIMAGENOTIFY.EXE-22E4141D.pf
03.11.2007 14:20 70.328 TRUEIMAGESERVICE.EXE-324D92BD.pf
03.11.2007 14:20 7.280 CDRECORD2.EXE-1FCDC8DC.pf
03.11.2007 14:15 10.160 SCHEDHLP.EXE-1C337C21.pf
03.11.2007 13:42 20.872 HPDARC.EXE-25DD680A.pf
03.11.2007 13:42 11.062 HPZSTC09.EXE-3AFDDA16.pf
03.11.2007 13:42 17.350 HPZENG09.EXE-21FF5F4F.pf
03.11.2007 13:19 55.258 PSP.EXE-349851F5.pf
03.11.2007 13:10 62.292 ACRORD32.EXE-153330F0.pf
03.11.2007 13:00 11.364 ERDNTWIN.OVL-02E4C512.pf
03.11.2007 12:41 16.842 RUNDLL32.EXE-1CFAB4B6.pf
03.11.2007 12:39 13.606 IS-3S6UG.TMP-105753D4.pf
03.11.2007 12:39 14.064 SPLAN50(UPDATE2).EXE-17927E1D.pf
03.11.2007 12:32 18.076 INS5BCB.TMP-155A1161.pf
03.11.2007 12:32 11.050 SPLAN50(UPDATE).EXE-19D0F15C.pf
03.11.2007 10:37 13.340 SOL.EXE-1C0C14EB.pf
03.11.2007 09:43 44.014 RUNDLL32.EXE-398386F9.pf
03.11.2007 00:57 29.606 RUNDLL32.EXE-44A0B4BC.pf
109 Datei(en) 5.344.072 Bytes
0 Verzeichnis(se), 26.978.689.024 Bytes frei

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3C92-3759

Verzeichnis von C:\WINDOWS

06.11.2007 04:23 1.783.332 WindowsUpdate.log
06.11.2007 00:19 4.096 ModemLog_Sportster MessagePlus Pro V90 PnP.txt
06.11.2007 00:18 0 0.log
06.11.2007 00:17 50 wiaservc.log
06.11.2007 00:17 159 wiadebug.log
06.11.2007 00:16 2.048 bootstat.dat
06.11.2007 00:15 30.840 SchedLgU.Txt
05.11.2007 22:43 15.348 Administrator.acl
05.11.2007 21:00 811.940 setupapi.log
05.11.2007 13:18 69 NeroDigital.ini
05.11.2007 13:14 533 win.ini
05.11.2007 06:05 1.140 mozver.dat
04.11.2007 23:17 2.426 defrag_xp.cmd
31.10.2007 17:41 57.782 MedCtrOC.log
31.10.2007 17:41 35.927 ehOCGen.log
31.10.2007 17:41 286.776 tsoc.log
31.10.2007 17:41 1.393 imsins.log
31.10.2007 17:41 129.490 ntdtcsetup.log
31.10.2007 17:41 31.150 tabletoc.log
31.10.2007 17:41 214.970 comsetup.log
31.10.2007 17:41 34.260 ocmsn.log
31.10.2007 17:41 852.855 iis6.log
31.10.2007 17:41 10.533 KB917537.log
31.10.2007 17:41 73.458 plusoc.log
31.10.2007 17:41 122.084 netfxocm.log
31.10.2007 17:41 306.090 ocgen.log
31.10.2007 17:41 31.103 msgsocm.log
31.10.2007 17:41 609.876 FaxSetup.log
31.10.2007 17:41 199.700 msmqinst.log
31.10.2007 17:40 11.733 KB939373.log
31.10.2007 17:40 1.393 imsins.BAK
31.10.2007 17:40 57.061 updspapi.log
31.10.2007 01:34 2.912 COM+.log
31.10.2007 01:23 450 nsw.log
30.10.2007 22:20 11.608 hpdj5100.ini
30.10.2007 22:20 327.307 hpdj5100.his
30.10.2007 22:08 10.769 hpdj5100.bu1
30.10.2007 22:08 399.035 hpdj5100.hi1
30.10.2007 21:56 10.769 hpdj5100.bu2
30.10.2007 21:56 275.810 hpdj5100.hi2
30.10.2007 20:46 166.013 hpwins05.dat
30.10.2007 20:41 31.372 DPINST.LOG
30.10.2007 20:26 427 my.ini
30.10.2007 19:35 28.728 DirectX.log
30.10.2007 18:49 23.107 KB939653-IE7.log
30.10.2007 18:49 10.937 KB938127-IE7.log
30.10.2007 07:18 7.147 spupdsvc.log
30.10.2007 07:16 15.998 ie7_main.log
30.10.2007 07:15 58.992 ie7.log
30.10.2007 07:15 8.865 IDNMitigationAPIs.log
30.10.2007 07:15 8.557 NLSDownlevelMapping.log
30.10.2007 07:14 6.705 KB915865.log
30.10.2007 07:10 285.260 msxml4-KB936181-deu.LOG
30.10.2007 07:10 7.483 KB927891.log
30.10.2007 05:49 2.844 KB885884.log
30.10.2007 01:32 53.144 KB899587.log
30.10.2007 01:32 52.510 KB927779.log
30.10.2007 01:32 49.189 KB927802.log
30.10.2007 01:32 49.598 KB922819.log
30.10.2007 01:32 47.257 KB885835.log
30.10.2007 01:32 46.885 KB885836.log
30.10.2007 01:32 47.793 KB923414.log
30.10.2007 01:32 48.572 KB928255.log
30.10.2007 01:31 48.929 KB931784.log
30.10.2007 01:31 37.057 KB935448.log
30.10.2007 01:31 47.253 KB911927.log
30.10.2007 01:31 46.799 KB901017.log
30.10.2007 01:31 47.121 KB899591.log
30.10.2007 01:31 37.230 KB933729.log
30.10.2007 01:31 45.503 KB920685.log
30.10.2007 01:31 46.192 KB893756.log
30.10.2007 01:31 45.710 KB923980.log
30.10.2007 01:31 45.094 KB911280.log
30.10.2007 01:31 44.587 KB936021.log
30.10.2007 01:31 44.051 KB911562.log
30.10.2007 01:30 43.064 KB938828.log
30.10.2007 01:30 48.958 KB939653.log
30.10.2007 01:30 41.528 KB924667.log
30.10.2007 01:30 37.218 KB896423.log
30.10.2007 01:30 42.228 KB900485.log
30.10.2007 01:30 41.638 KB924270.log
30.10.2007 01:30 39.818 KB931261.log
30.10.2007 01:30 39.226 KB873339.log
30.10.2007 01:30 40.136 KB924496.log
30.10.2007 01:30 39.702 KB936357.log
30.10.2007 01:30 39.447 KB921503.log
30.10.2007 01:30 38.352 KB887472.log
30.10.2007 01:30 39.830 KB938829.log
30.10.2007 01:29 39.566 KB896358.log
30.10.2007 01:29 31.582 KB925398.log
30.10.2007 01:29 31.433 KB910437.log
30.10.2007 01:29 39.933 KB925902.log
30.10.2007 01:29 38.626 KB929123.log
30.10.2007 01:29 37.900 KB920670.log
30.10.2007 01:29 37.422 KB891781.log
30.10.2007 01:29 38.104 KB918439.log
30.10.2007 01:29 51.289 KB902400.log
30.10.2007 01:29 34.416 KB890046.log
30.10.2007 01:28 34.087 KB926436.log
30.10.2007 01:28 36.055 KB920872.log
30.10.2007 01:28 34.992 KB930178.log
30.10.2007 01:28 34.424 KB919007.log
30.10.2007 01:28 34.731 KB914388.log
30.10.2007 01:28 33.759 KB917344.log
30.10.2007 01:28 33.875 KB905414.log
30.10.2007 01:28 33.021 KB917953.log
30.10.2007 01:28 34.197 KB932168.log
30.10.2007 01:28 32.338 KB901214.log
30.10.2007 01:28 30.019 KB923191.log
30.10.2007 01:28 25.303 KB922582.log
30.10.2007 01:28 28.992 KB941202.log
30.10.2007 01:28 29.195 KB918118.log
30.10.2007 01:28 29.288 KB926255.log
30.10.2007 01:27 27.985 KB888302.log
30.10.2007 01:27 29.976 KB900725.log
30.10.2007 01:27 28.176 KB938127.log
30.10.2007 01:27 28.356 KB920213.log
30.10.2007 01:27 37.610 KB933360.log
30.10.2007 01:27 26.663 KB935840.log
30.10.2007 01:27 20.538 KB886185.log
30.10.2007 01:27 26.447 KB916595.log
30.10.2007 01:27 26.545 KB930916.log
30.10.2007 01:27 18.689 KB930494.log
30.10.2007 01:27 26.472 KB904706.log
30.10.2007 01:26 26.180 KB908531.log
30.10.2007 01:26 25.794 KB905749.log
30.10.2007 01:26 17.740 KB923689.log
30.10.2007 01:26 25.877 KB913580.log
30.10.2007 01:26 24.098 KB896428.log
30.10.2007 01:26 24.198 KB935839.log
30.10.2007 01:26 24.348 KB894391.log
30.10.2007 01:26 22.422 KB908519.log
30.10.2007 01:26 22.199 KB920683.log
30.10.2007 01:26 21.750 KB914389.log
30.10.2007 01:26 23.414 KB890859.log
30.10.2007 01:25 10.642 KB936782.log
30.10.2007 01:25 2.837 wmsetup.log
30.10.2007 01:25 18.996 KB928843.log
30.10.2007 01:14 98 SPL8736.DAT
29.10.2007 23:41 0 nsreg.dat
29.10.2007 19:58 237 wmsetup10.log
29.10.2007 18:28 774 ODBC.INI
29.10.2007 18:21 4.348 ODBCINST.INI
29.10.2007 17:40 18.942 KB893803v2.log
29.10.2007 17:31 9.455 KB892130.log
29.10.2007 17:31 8.605 KB898461.log
29.10.2007 17:15 1.204.562 setuplog.txt
29.10.2007 16:29 1.174 OEWABLog.txt
29.10.2007 16:22 315.392 HideWin.exe
29.10.2007 16:22 4.777 KB888111.log
29.10.2007 16:21 15.600 gdrv.sys
29.10.2007 16:13 8.192 REGLOCS.OLD
29.10.2007 16:13 352.059 setupact.log
29.10.2007 16:10 0 control.ini
29.10.2007 16:10 316.640 WMSysPr9.prx
29.10.2007 16:09 749 WindowsShell.Manifest
29.10.2007 16:08 1.023 sessmgr.setup.log
29.10.2007 16:07 37 vbaddin.ini
29.10.2007 16:07 36 vb.ini
29.10.2007 16:07 133 DtcInstall.log
29.10.2007 16:02 200 cmsetacl.log
29.10.2007 15:59 2.586 regopt.log
29.10.2007 15:56 0 Sti_Trace.log
29.10.2007 15:54 231 system.ini
29.10.2007 15:53 0 setuperr.log
18.10.1997 00:00 15.348 MSO97.ACL
18.10.1997 00:00 2 ARTGALRY.CAG
233 Datei(en) 59.150.185 Bytes
0 Verzeichnis(se), 26.978.689.024 Bytes frei

So, das wäre die Filelist Teil 1

mfg
Kurt

Kurt Dunzinger · 06.11.2007, 18:38

Und hier Teil 2:

Zitat:

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3C92-3759

Verzeichnis von C:\WINDOWS\tasks

06.11.2007 16:22 242 total_defrag_xp.job
06.11.2007 12:30 296 cao_backup_move.job
06.11.2007 12:00 346 cao_automat.job
06.11.2007 00:16 6 SA.DAT
10.08.2004 13:00 65 desktop.ini
5 Datei(en) 955 Bytes
0 Verzeichnis(se), 26.978.689.024 Bytes frei

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3C92-3759

Verzeichnis von C:\WINDOWS\temp

03.11.2007 00:44 19.018 vmware-serverd.log
03.11.2007 00:13 169.662 IMT5AEC.tmp
03.11.2007 00:12 168.079 hpqddsvc.log
02.11.2007 12:39 99.556 vminst.log
02.11.2007 12:39 16.384 Perflib_Perfdata_b74.dat
02.11.2007 12:38 85 vmware-vmount.log
02.11.2007 12:38 1.063 hpzglue08.log
02.11.2007 12:29 19.119 vmware-serverd-0.log
02.11.2007 10:54 16.384 Perflib_Perfdata_e04.dat
02.11.2007 10:53 85 vmware-vmount-1.log
02.11.2007 10:52 1.063 hpzglue07.log
02.11.2007 10:51 19.018 vmware-serverd-1.log
02.11.2007 09:53 16.384 Perflib_Perfdata_8b8.dat
02.11.2007 09:52 85 vmware-vmount-2.log
02.11.2007 09:52 1.063 hpzglue06.log
02.11.2007 09:50 19.119 vmware-serverd-2.log
02.11.2007 08:41 16.384 Perflib_Perfdata_f58.dat
02.11.2007 08:40 85 vmware-vmount-3.log
02.11.2007 08:40 1.063 hpzglue05.log
02.11.2007 08:39 32.087 vmware-serverd-3.log
31.10.2007 18:19 16.384 Perflib_Perfdata_9ec.dat
31.10.2007 18:18 85 vmware-vmount-4.log
31.10.2007 18:18 1.063 hpzglue04.log
31.10.2007 18:16 32.559 vmware-serverd-4.log
31.10.2007 01:37 16.384 Perflib_Perfdata_cc8.dat
31.10.2007 01:36 85 vmware-vmount-5.log
31.10.2007 01:35 1.063 hpzglue03.log
31.10.2007 01:34 58.422 vmware-serverd-5.log
30.10.2007 23:48 16.384 Perflib_Perfdata_ba0.dat
30.10.2007 23:13 1.063 hpzglue02.log
30.10.2007 23:10 1.063 hpzglue01.log
30.10.2007 21:49 2.604 hpzservice00.log
30.10.2007 21:49 532 hpzglue00.log
30.10.2007 20:45 854.658 ProductContext7500.log
30.10.2007 01:27 5.101 NetFxUpdate_v1.0.3705.log
30.10.2007 01:27 2.464 _NDP_OCM_SetRegNI.log
30.10.2007 01:27 239 _NDP_OCM_ToGAC.log
30.10.2007 01:27 676 _NDP_OCM_PreInstall.log
29.10.2007 17:46 17.408 dd_netfx20UI6D97.txt
29.10.2007 17:40 1.677 Status.mif
26.12.2006 21:47 49.666 hpzDE4v2.chm
26.12.2006 21:47 265.601 hpzDE4v2.hlp
24.03.2005 17:00 120.040 set72.tmp
27.06.2003 18:50 126.976 PLUninst.exe
11.06.2003 14:40 126.976 DeleteUSB.exe
27.06.2001 15:11 766 Uninstall.ICO
46 Datei(en) 2.335.725 Bytes
0 Verzeichnis(se), 26.978.689.024 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk F: ist ARCHIV
Volumeseriennummer: F807-0316

Verzeichnis von F:\Temp

06.11.2007 18:26 125.869 filelist.txt
06.11.2007 18:18 16.384 ~DFE412.tmp
06.11.2007 11:46 16.384 ~DF1D52.tmp
06.11.2007 01:05 9.564 vmware-Administrator-2996.log
06.11.2007 01:00 8.514 vmware-Administrator-4436.log
06.11.2007 00:59 8.817 vmware-Administrator-5420.log
06.11.2007 00:23 47.122 DIO21.tmp
06.11.2007 00:19 47.122 DIO20.tmp
06.11.2007 00:18 47.122 DIO1F.tmp
06.11.2007 00:18 117 STS1D.tmp
06.11.2007 00:18 2.456 hpqddusr.log
06.11.2007 00:18 16.384 ~DF257E.tmp
06.11.2007 00:18 47.122 DIO16.tmp
06.11.2007 00:18 1.285 MAR14.tmp
06.11.2007 00:18 1.342 MAR11.tmp
06.11.2007 00:14 47.122 DIO11DF.tmp
05.11.2007 22:43 10.465 vmware-Administrator-996.log
05.11.2007 22:19 11.976 vmware-Administrator-2284.log
05.11.2007 21:46 8.636 vmware-Administrator-5112.log
05.11.2007 21:46 14.457 vmware-Administrator-4252.log
05.11.2007 21:04 47.122 DIO1E.tmp
05.11.2007 21:04 47.122 DIO1D.tmp
05.11.2007 21:04 117 STS1C.tmp
05.11.2007 21:04 16.384 ~DFBEDC.tmp
05.11.2007 21:04 47.122 DIO15.tmp
05.11.2007 21:04 1.285 MAR10.tmp
05.11.2007 21:04 1.342 MARF.tmp
05.11.2007 21:00 9.572 vmware-Administrator-4704.log
05.11.2007 20:44 47.122 DIO1A.tmp
05.11.2007 20:44 47.122 DIO17.tmp
05.11.2007 20:44 117 STS16.tmp
05.11.2007 20:44 16.384 ~DF7A3.tmp
05.11.2007 20:44 47.122 DIO11.tmp
05.11.2007 20:44 1.285 MARD.tmp
05.11.2007 20:44 1.342 MARC.tmp
05.11.2007 16:20 11.593 vmware-Administrator-3624.log
05.11.2007 15:18 16.384 ~DF5CD1.tmp
05.11.2007 15:00 9.556 vmware-Administrator-2080.log
05.11.2007 14:39 9.115 vmware-Administrator-2952.log
05.11.2007 14:37 11.229 vmware-Administrator-4400.log
05.11.2007 14:25 47.122 DIO27.tmp
05.11.2007 14:24 47.122 DIO25.tmp
05.11.2007 14:24 117 STS21.tmp
05.11.2007 14:24 16.384 ~DFFC31.tmp
05.11.2007 14:24 47.122 DIO10.tmp
05.11.2007 14:24 1.285 MARE.tmp
05.11.2007 14:24 1.342 MARB.tmp
05.11.2007 14:17 8.453 vmware-Administrator-5628.log
05.11.2007 14:12 17.071 vmware-Administrator-3292.log
05.11.2007 13:18 76 AC6F78.tmp
05.11.2007 13:18 76 AC6F77.tmp
05.11.2007 13:17 82 AC6F76.tmp
05.11.2007 13:17 80 AC6F75.tmp
05.11.2007 13:17 78 AC6F74.tmp
05.11.2007 13:17 74 AC6F73.tmp
05.11.2007 13:16 76 AC6F72.tmp
05.11.2007 13:16 78 AC6F71.tmp
05.11.2007 13:16 76 AC6F70.tmp
05.11.2007 13:16 76 AC6F6F.tmp
05.11.2007 13:16 78 AC6F6E.tmp
05.11.2007 13:15 82 AC6F6D.tmp
05.11.2007 13:15 88 AC6F6C.tmp
05.11.2007 00:33 47.122 DIO49.tmp
04.11.2007 23:39 47.122 DIO13.tmp
04.11.2007 23:39 47.122 DIO12.tmp
04.11.2007 23:39 117 STS11.tmp
04.11.2007 23:39 16.384 ~DF25A7.tmp
04.11.2007 23:39 47.122 DIOB.tmp
04.11.2007 23:38 1.285 MARA.tmp
04.11.2007 23:38 1.342 MAR9.tmp
04.11.2007 14:50 9.696 vmware-Administrator-2904.log
03.11.2007 14:28 7.650 TWAIN.LOG
03.11.2007 14:24 3 Twain001.Mtx
03.11.2007 14:24 156 Twunk001.MTX
03.11.2007 14:24 0 Twunk002.MTX
03.11.2007 12:16 117 STS5BCA.tmp
03.11.2007 12:16 47.122 DIO5BC9.tmp
03.11.2007 01:04 47.122 DIOF.tmp
03.11.2007 01:04 47.122 DIOE.tmp
03.11.2007 01:03 16.384 ~DF169C.tmp
03.11.2007 01:03 47.122 DIO9.tmp
03.11.2007 01:03 1.285 MAR8.tmp
03.11.2007 01:03 1.342 MAR5.tmp
03.11.2007 00:51 47.122 DIO19.tmp
03.11.2007 00:51 47.122 DIO18.tmp
03.11.2007 00:51 117 STS17.tmp
03.11.2007 00:51 16.384 ~DFD7C7.tmp
03.11.2007 00:51 47.122 DIO14.tmp
03.11.2007 00:51 1.285 MAR13.tmp
03.11.2007 00:51 1.342 MAR12.tmp
03.11.2007 00:47 47.122 DIOD.tmp
03.11.2007 00:47 47.122 DIOC.tmp
03.11.2007 00:47 117 STSB.tmp
03.11.2007 00:47 16.384 ~DF59B3.tmp
03.11.2007 00:47 47.122 DIO8.tmp
03.11.2007 00:47 1.285 MAR7.tmp
03.11.2007 00:47 1.342 MAR6.tmp
03.11.2007 00:46 22.857 Finnish.bin
03.11.2007 00:46 21.964 Norwegian.bin
03.11.2007 00:46 19.553 Hebrew.bin
03.11.2007 00:46 26.080 Hungarian.bin
03.11.2007 00:46 22.253 Turkish.bin
03.11.2007 00:46 24.312 Czech.bin
03.11.2007 00:46 25.071 Portuguese(Brazil).bin
03.11.2007 00:46 24.221 Polish.bin
03.11.2007 00:46 21.976 Thai.bin
03.11.2007 00:46 16.408 SimChin.bin
03.11.2007 00:46 20.972 Arabic.bin
03.11.2007 00:46 21.914 English.bin
03.11.2007 00:46 25.082 Greek.bin
03.11.2007 00:46 24.082 SWEDISH.bin
03.11.2007 00:46 26.260 Portuguese.bin
03.11.2007 00:46 27.753 Spanish.bin
03.11.2007 00:46 25.753 German.bin
03.11.2007 00:46 27.410 Italian.bin
03.11.2007 00:46 26.126 Russian.bin
03.11.2007 00:46 25.747 Dutch.bin
03.11.2007 00:46 27.235 French.bin
03.11.2007 00:46 16.949 TradChin.bin
03.11.2007 00:46 22.783 Danish.bin
03.11.2007 00:46 20.135 Korean.bin
03.11.2007 00:46 24.297 Japanese.bin
26.12.2006 21:47 265.601 hpzDE4v2.hlp
26.12.2006 21:47 49.666 hpzDE4v2.chm
124 Datei(en) 2.719.920 Bytes
0 Verzeichnis(se), 194.584.530.944 Bytes frei

mfg
Kurt

Kurt Dunzinger · 06.11.2007, 21:30

Und nu das Ergebnis von E-Scan(find.bat):

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.1
Sprache: German
Virus-Datenbank Datum: 11/6/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{AAAFE53A-3181-4F22-93E2-5F71F6E651ED}\RP24\A0001573.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{AAAFE53A-3181-4F22-93E2-5F71F6E651ED}\RP19\A0000572.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Programme\CAO-Faktura\support\cao_support.exe//UPX//vnchooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{AAAFE53A-3181-4F22-93E2-5F71F6E651ED}\RP46\A0003646.exe//UPX//vnchooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{AAAFE53A-3181-4F22-93E2-5F71F6E651ED}\RP48\A0004752.exe//UPX//vnchooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei F:\CAO FAKTURA\CAO 1.4\cao_setup_1_4_K\cao_faktura_k_setup_1_4_current.exe//file61//UPX//vnchooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei F:\CAO FAKTURA\CAO 1.4\cao_setup_1_4_K\cao_setup_1_4_K.zip/cao_faktura_k_setup_1_4_current.exe//file61//UPX//vnchooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei F:\CAO FAKTURA\CAO 1.4\temp 1.4\cao_faktura_k_setup_1_4_current.exe//file61//UPX//vnchooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei F:\CAO FAKTURA\cao_faktura_k_setup_1_4_current.exe//file61//UPX//vnchooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei F:\System Volume Information\_restore{AAAFE53A-3181-4F22-93E2-5F71F6E651ED}\RP46\A0003647.exe//file61//UPX//vnchooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei F:\System Volume Information\_restore{AAAFE53A-3181-4F22-93E2-5F71F6E651ED}\RP46\A0003648.exe//file61//UPX//vnchooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei F:\System Volume Information\_restore{AAAFE53A-3181-4F22-93E2-5F71F6E651ED}\RP46\A0003649.exe//file61//UPX//vnchooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei F:\System Volume Information\_restore{AAAFE53A-3181-4F22-93E2-5F71F6E651ED}\RP46\A0003662.exe//file61//UPX//vnchooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Nero\Nero8\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
E:\EIGENE DATEIEN\FIRMA\Firmendaten.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
E:\EIGENE DATEIEN\privat\Eso\MagnetV4.0.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\BACKUPS-OLD\WOfficeST35128\Vollv\640x480\setup.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\BACKUPS-OLD\WOfficeST35128\Vollv\800x600\setup.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\DEPOT\JTL\eazySales_cur.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\FONTS\analog.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\PROGRAMME\WOfficeST35128\Vollv\640x480\setup.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\PROGRAMME\WOfficeST35128\Vollv\800x600\setup.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\WEB\Eigene Webs\template\downloads\HTML_Kit.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\WEB\WEBDATEIEN\Eigene Webs\template\downloads\HTML_Kit.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\WEB\WEBDATEIEN\HTML\chromeless Window\preloader_zu_cw.js.txt nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 169277
Gefundene Viren: 13
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 56
Dauer des Scans bisher: 01:08:23
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:26:33,51
Batchende: 21:26:37,26

Wobei mir die beiden ersten Einträge Kopfzerbrechen machen.
Die Funde unter "tagged Files" dürften alle die Remotedatei betreffen und sind somit Fehlalarm.

mfg
Kurt

Kurt Dunzinger · 08.11.2007, 16:38

Hallo,

Also, ich muß sagen, ich bin einigermaßen enttäuscht von dem Forum.
Ich kenne es nun schon seit vielen Jahren als überaus kompetente und hilfsbereite Plattform.
Deshalb überrascht mich diese Vorgangsweise um so mehr.
Man kommt als Ratsuchender hier her und bekommt ein vorgefertigtes Template hingeknallt. Nicht, daß das an sich was Schlechtes wäre.
Dann arbeitet man es durch und wartet....
...und wartet noch immer...
Die endlose Geschichte?
So was bin ich von diesem Forum nicht gewöhnt.
Und: Laßt euch nicht von der bei mir angeführten Anzahl an Postings täuschen, es sind wesentlich mehr.
Ich war schon zu Zeiten Mitglied in diesem Forum, als noch eine andere Software die Abläufe bestimmte.
Irgendwie sind die alten Einträge aber nicht mehr verfügbar.
Aber das alles ist ja nicht so wichtig, ich wollte nur meiner Traurigkeit Ausdruck verleihen, daß sich der Umgang mit den Nutzern dieses Boards so sehr verschlechtert hat.

CU
Kurt

Domino · 09.11.2007, 20:36

Ich denke, du bist mit deiner Frage im Kasperskyforum besser aufgehoben:
http://forum.kaspersky.com/index.php?showforum=26

Die Angaben in deinem ersten posting scheinen mir nicht vollständig, mir fehlt dort der Hinweis auf "erlaubt" oder "verboten".

Welche Version von Kaspersky verwendest du ?

/offtopic So viel länger als ich bist du hier auch nicht registriert

Domino

**Sunny** · 09.11.2007, 22:40

Zitat:

Zitat von Kurt Dunzinger

Also, ich muß sagen, ich bin einigermaßen enttäuscht von dem Forum.
Ich kenne es nun schon seit vielen Jahren als überaus kompetente und hilfsbereite Plattform.

Und? Ist diese Plattform deiner Ansicht nach nicht mehr kompetent, oder kompetent genug?
Was macht ein kompetentes Forum für dich aus, und wie machst du es daran fest?

Zitat:

Deshalb überrascht mich diese Vorgangsweise um so mehr.
Man kommt als Ratsuchender hier her und bekommt ein vorgefertigtes Template hingeknallt.

Als "hingeknallt" kann man diese unsere heutige Vorgehensweise nicht nennen, da sie im Laufe der vergangenen Jahre von Nöten geworden ist, denn zur "damaligen" Zeit konnte man sicherlich noch ganz individuell auf den Hilfesuchenden eingehen, heute ist dies, abhängig von der heute (massenhaft!) erstellten Beiträge, nicht mehr möglich!

Desweiteren ist die Problematik bezüglich der Malwareformen soweit fortgeschritten, das es nicht mehr so einfach ist wie "damals".

Zitat:

Dann arbeitet man es durch und wartet....
...und wartet noch immer...

Heute läuft es so, der Helfende in einem Beitrag wie deinem (in dem Falle meine Wenigkeit!), hilft so gut es kann, und verhilft deinem Problem zum Erfolg!
Desweiteren, und das war auch schon "damals" so, sind hier User für User da!
d.h. wenn ich nicht online bin, kann ich dir auch nicht helfen.
Die ist nicht mein Hauptjob hier mit dem ich mir mein "Brot" verdiene, sondern nur mein Hobby!

Zitat:

...daß sich der Umgang mit den Nutzern dieses Boards so sehr verschlechtert hat...

Verschlechtert? Dann scheinst du in den letzten Monaten/Jahren sehr selten hier online gewesen zu sein, denn es hat sich hier einiges getan.
Es sind sicherlich einige gute Helfer gegangen, aber auch eine ganze Menge neue hinzugekommen.

Ohne jetzt zu beleidigt zu sein, ich bin ebenfalls der Meinung das du sicherlich (auch schneller) eine Antwort zu deinem Problem im KAV-Forum bekommen kannst/wirst.

Ich wünsch dir auf jeden Fall viel Glück ..

Kurt Dunzinger · 10.11.2007, 00:37

Hallo an alle,

Zitat:

Zitat:
Zitat von Kurt Dunzinger

Also, ich muß sagen, ich bin einigermaßen enttäuscht von dem Forum.
Ich kenne es nun schon seit vielen Jahren als überaus kompetente und hilfsbereite Plattform.

Und? Ist diese Plattform deiner Ansicht nach nicht mehr kompetent, oder kompetent genug?
Was macht ein kompetentes Forum für dich aus, und wie machst du es daran fest?

Nun, das ist imho keine Frage der Kompetenz, sondern einfach des Umgangs mit den Usern. Die Kompetenz wird sicherlich auch heute noch immer vorhanden sein.

Zitat:

Zitat:
Deshalb überrascht mich diese Vorgangsweise um so mehr.
Man kommt als Ratsuchender hier her und bekommt ein vorgefertigtes Template hingeknallt.

Als "hingeknallt" kann man diese unsere heutige Vorgehensweise nicht nennen, da sie im Laufe der vergangenen Jahre von Nöten geworden ist, denn zur "damaligen" Zeit konnte man sicherlich noch ganz individuell auf den Hilfesuchenden eingehen, heute ist dies, abhängig von der heute (massenhaft!) erstellten Beiträge, nicht mehr möglich!

Nun, da bestehen offensichtlich Auffassungsunterschiede. Die Vorgangsweise erweckt für mich als Ratsuchenden den Eindruck, als ob mein Anliegen selbst nur am Rande interessant wäre und gar nicht richtig beachtet wurde. Nicht, daß ich damit sagen wollte, daß es dem Ergebnis nach sinnlos gewesen wäre(in meinem Fall), es erscheint aber, zumindest im Zusammenhang mit der nachfolgenden reaktionslosen Zeit, entmenschlicht.
Viel persönlicher würde ein Posting wirken, in dem du vielleicht mit einem Link auf dein Template als weiterführende Erklärung hinweist.
Und auch zu meiner aktiven Zeit in diesem Forum gab es bereits massenhaft Beiträge, die oft im Sekundentakt beantwortet wurden.
Ich selbst war der Initiator des längsten, hier jemals angefallenen, Threads.
Leider ist dieser mit der alten Software im Nirvana verschwunden. Aber, was ich damit sagen wollte, damals wurde, auch unter den Spezialisten, diskutiert und gemeinsam ein Lösungsweg erarbeitet.

Zitat:

Desweiteren ist die Problematik bezüglich der Malwareformen soweit fortgeschritten, das es nicht mehr so einfach ist wie "damals".

Da gebe ich dir uneingeschränkt recht, zumindest, was die Entwicklung der Malware betrifft.

Zitat:

Zitat:
Dann arbeitet man es durch und wartet....
...und wartet noch immer...

Heute läuft es so, der Helfende in einem Beitrag wie deinem (in dem Falle meine Wenigkeit!), hilft so gut es kann, und verhilft deinem Problem zum Erfolg!
Desweiteren, und das war auch schon "damals" so, sind hier User für User da!
d.h. wenn ich nicht online bin, kann ich dir auch nicht helfen.
Die ist nicht mein Hauptjob hier mit dem ich mir mein "Brot" verdiene, sondern nur mein Hobby!

Auch hier widerspreche ich dir nicht, das ist eine durchaus legitime und nachvollziehbare Argumentation. Was ich damit aber anprangern wollte, ist, daß es sonst niemand, trotz vieler Views, der Mühe wert gefunden hat, für dich während deiner Abwesenheit einzuspringen und das Thema weiterzuführen. Das hätte es früher nicht gegeben und wurde auch allgemein nicht so praktiziert. Damals war man sich offensichtlich dessen mehr bewußt, daß es sich bei Problemen dieser Art nicht um Sachen handelte, die man auf die lange Bank schieben konnte.

Zitat:

Zitat:
...daß sich der Umgang mit den Nutzern dieses Boards so sehr verschlechtert hat...

Verschlechtert? Dann scheinst du in den letzten Monaten/Jahren sehr selten hier online gewesen zu sein, denn es hat sich hier einiges getan.
Es sind sicherlich einige gute Helfer gegangen, aber auch eine ganze Menge neue hinzugekommen.

Siehe dazu meine obigen Stellungsnahmen, wodurch imho erklärt wird, was ich mit "verschlechtert" meinte. Damit meinte ich nicht die Qualifikation der hier tätigen Helfer, die sei weiterhin unbestritten. Daß ich nun schon länger nicht hier war, steht allerdings außer Frage. Insbesondere deshalb sind mir die Unterschiede zu damals derart gravierend aufgefallen.

Zitat:

Ohne jetzt zu beleidigt zu sein, ich bin ebenfalls der Meinung das du sicherlich (auch schneller) eine Antwort zu deinem Problem im KAV-Forum bekommen kannst/wirst.

Nun, das nehme ich dir jetzt nicht ganz ab.
Mir ist durchaus bewußt, daß mein Posting provokativ war und auch sein sollte. Wenn du nicht betroffen davon gewesen wärst, wärst du zumindest ansatzweise auf die hier geposteten Files eingegangen.

Zitat:

Ich wünsch dir auf jeden Fall viel Glück ..

Ja, dasselbe auch von mir, wobei ich hoffe, daß ich mit meiner Provokation zumindest den einen oder anderen zum Nachdenken anregen konnte.
Nochmal: Obiges Posting von mir bedeutet keinesfalls einen persönlichen Agriff auf irgend jemanden in diesem Forum, es stellt lediglich meine Meinung zur aktuellen Situation hier dar.

mfg
Kurt

Seltsame Warnmeldungen von KAV...

Antiviren-, Firewall- und andere Schutzprogramme: Seltsame Warnmeldungen von KAV...