winlogon.exe/csrss.exe ? jemand entscheidet was ich darf und was nicht..Trojaner?

Skairs · 03.01.2010, 12:25

Hallo. Ich habe seit einigen Tagen ein Problem.
Dann habe ich hier gelesen, ich muss mich vorher andersweitig informieren, bevor ich ein Thema erstelle. Das habe ich jetzt seit 2 Tagen gemacht und hier schreibe ich nun alles was an meinem Laptop "Faul ist" und was ich darüber gelesen hab.

1. Freundin war das 1. mal am Laptop--> Pony Browsergame gespielt--> Java etc. von nicht sicheren Quellen dafür geladen, dann hektisch alles gelöscht, und weiter gabs von ihr keine Auskunft.
2. Da gings los: Internet wurde seeehr sehr langsam.
3. Antivir hat nichts gefunden.
4. Im Taskmanager tauchen plötzlich "winlogon.exe" und"csrss.exe" ohne Beschreibung auf. Ich kann auch nicht deren Pfad erkennen.
5. Ich weiss, dass es Standard Prozesse sind, aber auch, dass wenn sie keine Beschreibung haben, es meist Viren/Trojaner Server Prozesse sind, die dann andere Sachen runterladen.
Die "normalen" winlogon.exe und csrss.exe finde ich über die Suche, mit Beschreibung und Pfad.
6. Ich kann keine Seiten wie diese"Trojaner Board" öffnen. Das habe ich nur über Umwege geschafft.

was ich herausgefunden habe:

1. Java Downloads sind oft Gefährlich und sind Potenzielle "Virenfänger".
2. Unter c->Windows-> Software Distribution-> werden oft Dateien erstellt, wenn man dieses "winlogon.exe" Problem hat. So auch bei mir.
3. Einigen Leuten hat es geholfen, diesen Download Ordner zu löschen. Ich kann ihn nicht löschen, weil eine Datei anscheinend benutzt wird. Alle anderen erstellen sich nach dem löschen neu.
4. unter: c-windows-system32 findet man oft Sachen, die bösartig sind wenn man dieses winlogon.exe Problem hat. So auch bei mir.
Die letzte normale Änderung (01.12.)dort ist "OK". Sie enthält Beschreibungen etc..
Alle Dateien in dem Ordner seit dem 28.12. sind für mich "komisch".
Sie haben alle keine Beschreibung, haben alle einen anderen Datei-Typ als alle normalen Dateien. Und sie haben komische Namen.
Z.B.: eine der vielen heisst: 7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
Datei-typ: C7483456-A289-439D-8115-601632D005A0-Datei (.C7483456-A289-439d-8115-601632D005A0)
Sie wurden alle nach dem 28.12 erstellt und werden ständig geändert. Diese Datei z.B. vor einer Stunde, also als ich den Laptop gestartet habe.
6. Ich habe gelesen, dass man mit Antivir bei diesem Problem nach Rootkits suchen soll. In dieser Einstellung findet Avira bei mir 255 Warnungen aber keinen Fund. Wenn ich mir den Report angucken will hängt sich dieser aber auf.

Ich hoffe das waren genügend Informationen. Ich mache alles was mir gesagt wird, und wenn ich doch einen Fehler gemacht habe, tut es mir Leid. Hijack This habe ich runtergeladen. Wenn ich soll Poste ich den Log, allerdings habe ich gelesen, dass es wohl nichts bringt, weil "winlogon.exe" halt ein normaler Prozess ist und in jedem Log auftaucht. Ich bin mehr als dankbar für jede Art von Hilfe! Und ich mache mir Die Mühen auch nur, weil ich unter allen Umständen das Neu Aufsetzen vermeiden will. Danke

cosinus · 04.01.2010, 14:52

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

cosinus · 05.01.2010, 12:46

@Der_Idiot: Was soll sowas? Gehts noch sinnfreier? Lass solche Schwachsinnspostings bitte in Zukunft.

Skairs · 05.01.2010, 16:33

hallo cosinus. Danke für die hilfe. leider habe ich den Post von dir erst jetzt gelesen. Es ging nichts mehr.

Gestern habe ich schweren Herzens den Pc neu aufgesetzt. Mehrmals. Denn nach den ersten Versuchen gab es keine Änderung.

Jetzt nach dem 5. mal glaube ich, hat sich einiges "verbessert".
Ich kann wieder alle Internet-Seiten aufrufen. Alles ist wieder möglich.
Und ich hatte zwar noch nie Highspeed DSL, leider nur ne 1000er Leitung. Aber ich glaube mein Internet ist immer noch langsamer als vorher.

Wie kann ich jetzt rausfinden ob mein System "sauber" ist? Antivir und Malwarebytes haben nichts gefunden. Danke.

Zur info: "winlogon.exe" und "csrss.exe" haben immer noch keine Beschreibung. Wenn ich dann aber auf "Prozesse aller Benutzer anzeigen" klicke, haben sie Plötzlich eine. Dann zeigt mir der Taskmanager auch plötzlich sehr viele Prozesse an. Z.B. 11xsvchost.exe... obwohl man den Prozess ja oft drin hat. Woher kommen soviele Prozesse wenn alles neu gemacht wurde und ich der einzige "Benutzer" bin.
Danke schonmal.

cosinus · 05.01.2010, 16:37

Wenn der PC neu installiert wurde, sind die Schädlinge weg, es sei denn Du hast einige Dinge falsch gemacht => Thema Neuinstallation beachten

winlogon.exe und csrss.exe sind legitime Windows-Prozesse. Darf man nicht abwürgen.

Mehrere laufende svchost.exe sind normal. Diese Legende, dass mehrere laufende svchost.exe "unnormal" bis "schädlich" seien, hält sich einfach hartnäckig, ich versteh das nicht

Dabei ist die svchost.exe bloß nur ein "Hüllenprozess", eine Art Hilfsdienst, damit andere Dienste und Programme ordentlich funktionieren.

Zitat:

Zitat:

Zitat von http://www.neuber.com/taskmanager/deutsch/prozess/svchost.exe.html

"Svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von DLL-Dateien ausgeführt werden. Dienste sind Funktionen, die z.B. automatische USB-Geräten erkennen oder die Druck-Funktionen ermöglichen. Dienste können gestartet oder gestoppt werden. Nicht alle Dienste benötigen Svchost.exe (nur solche, die per DLL-Dateien ausgeführt werden müssen). Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird. Svchost.exe fasst mehrere Dienste zusammen, d.h. es können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden.

Skairs · 05.01.2010, 20:34

hallo. cosinus. nur zur Info: ich habe mindestens 15 Stunden gegoogled, bevor ich den Thread verfasst habe. (5 Stunden davon waren aber warten, weils Inet halt so lahm war)

Also ich weiss auch, dass das alles normale Prozesse sind. Aber bei den normalen Prozessen, erhält mn Infos über sie, wenn man auf sie Rechtsklickt im Taskmanager. Und sie haben auch alle eine Beschreibung.

meine winlogon.exe und csrss.exe haben aber keine Beshreibung und lassen sich auch nicht zurückverfolgen. (meine "normale" winlogon.exe im Windows Ordner hat aber eine Beschreibung). Und deshalb (das habe ich auch beim googlen erfahren) ging ich davon aus, dass darin die Ursache meines Problems liegen könnte.Das nur zu meiner Verteidigung

Also Das was in deiner Anleitung stand habe ich fast alles erledigt. Ein Paar Sachen kann ich aber nicht machen, da das alles nur für Windows XP ist und ich habe Vista.
Dazu habe ich nur eine Recovery CD und damit habe ich vorher noch nie gearbeitet.

Ich weiss nicht was ich noch machen soll....immer wenn ich etwas Downloade, dann lädt er ca. 5 Sekunden mit 80kb/sek. und schraubt sich dann gaanz langsam runter und lädt mit EXAKT 10 kb/sek weiter.... warum? wenn ich den Rechner Starte ist auch alles ok, und nach 20 sekunden werden die Inet Seiten dann lahm....

Danke für jeden Tip/Hilfe/Anleitung

cosinus · 05.01.2010, 20:37

Hm vllt kannst Du mal beschreiben, wie Du genau mit dem Notebook ins Internet gehst. Kabel, WLAN, wenn WLAN isses verschlüsselt, wenn nein warum nicht, wenn ja wie, WEP oder WPA...

Skairs · 05.01.2010, 21:00

Der laptop is per Kabel ans Inet angeschlossen. Kein weiterer Rechner. Nur noch ne Xbox mit der ich ins Inet gehe. Die hab ich jetzt schon abgeklemmt. Komisch ist aber, dass es auf der Xbox keine Probleme mit dem Inet gibt. Und wenn ich die Xbox vom Netz nehme sind downloads auch nicht schneller/langsamer...

cosinus · 05.01.2010, 21:06

Hmm...
Dann mach mal zumindest die Logs mit RSIT und poste sie. Evtl. seh ich daraus was, ob da was am Werkeln ist oder Dein Netzwerkadapter ne Macke hat. Falls RSIT nicht funktioniert (DU erwähntest was davon, dass manche Tools nicht laufen) bitte OTL anwenden:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Skairs · 06.01.2010, 23:23

hey, dann poste ich mal die beiden logfiles

Logfile of random's system information tool 1.06 (written by random/random)
Run by user at 2010-01-06 23:09:14
Microsoft® Windows Vista™ Home Premium
System drive C: has 70 GB (72%) free of 96 GB
Total RAM: 2038 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:10:08, on 06.01.2010
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Users\user\Downloads\RSIT.exe
C:\Program Files\trend micro\user.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

--
End of file - 3798 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2010-01-06 1006264]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"IgfxTray"=C:\Windows\system32\igfxtray.exe [2008-02-11 141848]
"HotKeysCmds"=C:\Windows\system32\hkcmd.exe [2008-02-11 166424]
"Persistence"=C:\Windows\system32\igfxpers.exe [2008-02-11 133656]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2010-01-06 1232896]
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2009-01-26 2144088]
"msnmsgr"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\Windows\system32\igfxdev.dll [2008-02-11 204800]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2010-01-06 23:09:14 ----D---- C:\rsit
2010-01-06 23:09:14 ----D---- C:\Program Files\trend micro
2010-01-06 20:41:34 ----A---- C:\Windows\system32\occache.dll
2010-01-06 20:41:34 ----A---- C:\Windows\system32\msfeeds.dll
2010-01-06 20:41:34 ----A---- C:\Windows\system32\jsproxy.dll
2010-01-06 20:41:34 ----A---- C:\Windows\system32\iepeers.dll
2010-01-06 20:41:33 ----A---- C:\Windows\system32\msfeedsbs.dll
2010-01-06 20:41:33 ----A---- C:\Windows\system32\ieui.dll
2010-01-06 20:41:33 ----A---- C:\Windows\system32\iesetup.dll
2010-01-06 20:41:33 ----A---- C:\Windows\system32\iernonce.dll
2010-01-06 20:41:32 ----A---- C:\Windows\system32\wininet.dll
2010-01-06 20:41:32 ----A---- C:\Windows\system32\urlmon.dll
2010-01-06 20:41:32 ----A---- C:\Windows\system32\msfeedssync.exe
2010-01-06 20:41:32 ----A---- C:\Windows\system32\ieUnatt.exe
2010-01-06 20:41:32 ----A---- C:\Windows\system32\iesysprep.dll
2010-01-06 20:41:32 ----A---- C:\Windows\system32\iertutil.dll
2010-01-06 20:41:32 ----A---- C:\Windows\system32\iedkcs32.dll
2010-01-06 20:41:32 ----A---- C:\Windows\system32\ie4uinit.exe
2010-01-06 20:41:30 ----A---- C:\Windows\system32\mshtml.dll
2010-01-06 20:41:30 ----A---- C:\Windows\system32\ieframe.dll
2010-01-06 20:40:16 ----A---- C:\Windows\system32\mshtmler.dll
2010-01-06 20:40:16 ----A---- C:\Windows\system32\mshtmled.dll
2010-01-06 20:40:16 ----A---- C:\Windows\system32\icardie.dll
2010-01-06 20:40:16 ----A---- C:\Windows\system32\admparse.dll
2010-01-06 20:40:15 ----A---- C:\Windows\system32\msls31.dll
2010-01-06 20:40:15 ----A---- C:\Windows\system32\imgutil.dll
2010-01-06 20:40:15 ----A---- C:\Windows\system32\ieakeng.dll
2010-01-06 20:40:15 ----A---- C:\Windows\system32\dxtmsft.dll
2010-01-06 20:40:15 ----A---- C:\Windows\system32\corpol.dll
2010-01-06 20:40:14 ----A---- C:\Windows\system32\webcheck.dll
2010-01-06 20:40:14 ----A---- C:\Windows\system32\msrating.dll
2010-01-06 20:40:14 ----A---- C:\Windows\system32\licmgr10.dll
2010-01-06 20:40:14 ----A---- C:\Windows\system32\inseng.dll
2010-01-06 20:40:14 ----A---- C:\Windows\system32\ieaksie.dll
2010-01-06 20:40:14 ----A---- C:\Windows\system32\dxtrans.dll
2010-01-06 20:40:13 ----A---- C:\Windows\system32\WinFXDocObj.exe
2010-01-06 20:40:13 ----A---- C:\Windows\system32\wextract.exe
2010-01-06 20:40:13 ----A---- C:\Windows\system32\pngfilt.dll
2010-01-06 20:40:13 ----A---- C:\Windows\system32\mstime.dll
2010-01-06 20:40:13 ----A---- C:\Windows\system32\ieakui.dll
2010-01-06 20:40:13 ----A---- C:\Windows\system32\advpack.dll
2010-01-06 20:40:12 ----A---- C:\Windows\system32\vbscript.dll
2010-01-06 20:40:12 ----A---- C:\Windows\system32\url.dll
2010-01-06 20:40:12 ----A---- C:\Windows\system32\jscript.dll
2010-01-06 20:40:12 ----A---- C:\Windows\system32\ieapfltr.dll
2010-01-06 20:40:11 ----A---- C:\Windows\system32\mshta.exe
2010-01-06 20:40:11 ----A---- C:\Windows\system32\iexpress.exe
2010-01-06 20:40:10 ----A---- C:\Windows\system32\SetIEInstalledDate.exe
2010-01-06 20:40:10 ----A---- C:\Windows\system32\RegisterIEPKEYs.exe
2010-01-06 20:40:10 ----A---- C:\Windows\system32\PDMSetup.exe
2010-01-06 19:11:53 ----A---- C:\Windows\system32\kerberos.dll
2010-01-06 19:11:52 ----A---- C:\Windows\system32\schannel.dll
2010-01-06 17:31:30 ----A---- C:\Windows\system32\winipsec.dll
2010-01-06 17:31:30 ----A---- C:\Windows\system32\polstore.dll
2010-01-06 17:31:30 ----A---- C:\Windows\system32\IPSECSVC.DLL
2010-01-06 17:31:30 ----A---- C:\Windows\system32\FwRemoteSvr.dll
2010-01-06 17:30:50 ----A---- C:\Windows\system32\riched32.dll
2010-01-06 17:30:50 ----A---- C:\Windows\system32\riched20.dll
2010-01-06 17:30:48 ----A---- C:\Windows\system32\rasser.dll
2010-01-06 17:30:48 ----A---- C:\Windows\system32\rasmxs.dll
2010-01-06 17:30:48 ----A---- C:\Windows\system32\rasdiag.dll
2010-01-06 17:30:48 ----A---- C:\Windows\system32\rascfg.dll
2010-01-06 17:30:48 ----A---- C:\Windows\system32\netcfgx.dll
2010-01-06 17:30:48 ----A---- C:\Windows\system32\msftedit.dll
2010-01-06 17:30:47 ----A---- C:\Windows\system32\ipnathlp.dll
2010-01-06 17:30:47 ----A---- C:\Windows\system32\icsunattend.exe
2010-01-06 17:30:46 ----A---- C:\Windows\system32\wshqos.dll
2010-01-06 17:30:46 ----A---- C:\Windows\system32\traffic.dll
2010-01-06 17:30:46 ----A---- C:\Windows\system32\pacerprf.dll
2010-01-06 17:30:46 ----A---- C:\Windows\system32\dps.dll
2010-01-06 17:30:46 ----A---- C:\Windows\system32\cdd.dll
2010-01-06 17:30:11 ----A---- C:\Windows\system32\PortableDeviceTypes.dll
2010-01-06 17:30:11 ----A---- C:\Windows\system32\PortableDeviceClassExtension.dll
2010-01-06 17:30:11 ----A---- C:\Windows\system32\PortableDeviceApi.dll
2010-01-06 17:28:01 ----A---- C:\Windows\system32\wdigest.dll
2010-01-06 17:28:01 ----A---- C:\Windows\system32\secur32.dll
2010-01-06 17:28:01 ----A---- C:\Windows\system32\msv1_0.dll
2010-01-06 17:28:01 ----A---- C:\Windows\system32\lsass.exe
2010-01-06 17:28:01 ----A---- C:\Windows\system32\lsasrv.dll
2010-01-06 17:24:21 ----D---- C:\Program Files\Microsoft Silverlight
2010-01-06 17:23:51 ----A---- C:\Windows\system32\es.dll
2010-01-06 17:23:30 ----D---- C:\Windows\system32\x64
2010-01-06 17:23:30 ----A---- C:\Windows\system32\igxpun.exe
2010-01-06 17:23:29 ----A---- C:\Windows\system32\difxapi.dll
2010-01-06 17:22:49 ----A---- C:\Windows\system32\MediaMetadataHandler.dll
2010-01-06 17:22:09 ----A---- C:\Windows\system32\mcmde.dll
2010-01-06 17:22:08 ----A---- C:\Windows\system32\psisdecd.dll
2010-01-06 17:22:08 ----A---- C:\Windows\system32\EncDec.dll
2010-01-06 17:20:42 ----A---- C:\Windows\system32\msshsq.dll
2010-01-06 17:20:17 ----A---- C:\Windows\system32\NlsLexicons0045.dll
2010-01-06 17:20:16 ----A---- C:\Windows\system32\NlsLexicons0049.dll
2010-01-06 17:20:16 ----A---- C:\Windows\system32\NlsLexicons0047.dll
2010-01-06 17:20:16 ----A---- C:\Windows\system32\NlsLexicons0046.dll
2010-01-06 17:20:16 ----A---- C:\Windows\system32\NlsLexicons0039.dll
2010-01-06 17:20:16 ----A---- C:\Windows\system32\NlsLexicons0021.dll
2010-01-06 17:20:16 ----A---- C:\Windows\system32\NlsLexicons0020.dll
2010-01-06 17:20:15 ----A---- C:\Windows\system32\NlsLexicons0024.dll
2010-01-06 17:20:15 ----A---- C:\Windows\system32\NlsLexicons0022.dll
2010-01-06 17:20:14 ----A---- C:\Windows\system32\NlsLexicons0027.dll
2010-01-06 17:20:14 ----A---- C:\Windows\system32\NlsLexicons0026.dll
2010-01-06 17:20:14 ----A---- C:\Windows\system32\NlsLexicons0010.dll
2010-01-06 17:20:13 ----A---- C:\Windows\system32\NlsLexicons0018.dll
2010-01-06 17:20:13 ----A---- C:\Windows\system32\NlsLexicons0013.dll
2010-01-06 17:20:13 ----A---- C:\Windows\system32\NlsLexicons0011.dll
2010-01-06 17:20:12 ----A---- C:\Windows\system32\NlsLexicons0019.dll
2010-01-06 17:20:12 ----A---- C:\Windows\system32\NlsLexicons0002.dll
2010-01-06 17:20:12 ----A---- C:\Windows\system32\NlsLexicons0001.dll
2010-01-06 17:20:11 ----A---- C:\Windows\system32\NlsLexicons0009.dll
2010-01-06 17:20:11 ----A---- C:\Windows\system32\NlsLexicons0007.dll
2010-01-06 17:20:11 ----A---- C:\Windows\system32\NlsLexicons0003.dll
2010-01-06 17:20:10 ----A---- C:\Windows\system32\NlsLexicons004e.dll
2010-01-06 17:20:10 ----A---- C:\Windows\system32\NlsLexicons004c.dll
2010-01-06 17:20:10 ----A---- C:\Windows\system32\NlsLexicons004b.dll
2010-01-06 17:20:10 ----A---- C:\Windows\system32\NlsLexicons004a.dll
2010-01-06 17:20:09 ----A---- C:\Windows\system32\NlsLexicons003e.dll
2010-01-06 17:20:09 ----A---- C:\Windows\system32\NlsLexicons002a.dll
2010-01-06 17:20:09 ----A---- C:\Windows\system32\NlsLexicons001a.dll
2010-01-06 17:20:08 ----A---- C:\Windows\system32\NlsLexicons001d.dll
2010-01-06 17:20:08 ----A---- C:\Windows\system32\NlsLexicons001b.dll
2010-01-06 17:20:08 ----A---- C:\Windows\system32\NlsLexicons000a.dll
2010-01-06 17:20:07 ----A---- C:\Windows\system32\NlsLexicons000f.dll
2010-01-06 17:20:07 ----A---- C:\Windows\system32\NlsLexicons000d.dll
2010-01-06 17:20:07 ----A---- C:\Windows\system32\NlsLexicons000c.dll
2010-01-06 17:20:06 ----A---- C:\Windows\system32\NlsLexicons0816.dll
2010-01-06 17:20:06 ----A---- C:\Windows\system32\NlsLexicons0416.dll
2010-01-06 17:20:06 ----A---- C:\Windows\system32\NlsLexicons0414.dll
2010-01-06 17:20:05 ----A---- C:\Windows\system32\NlsModels0011.dll
2010-01-06 17:20:05 ----A---- C:\Windows\system32\NlsLexicons081a.dll
2010-01-06 17:20:05 ----A---- C:\Windows\system32\NlsData0045.dll
2010-01-06 17:20:04 ----A---- C:\Windows\system32\NlsData0049.dll
2010-01-06 17:20:04 ----A---- C:\Windows\system32\NlsData0047.dll
2010-01-06 17:20:04 ----A---- C:\Windows\system32\NlsData0046.dll
2010-01-06 17:20:04 ----A---- C:\Windows\system32\NlsData0039.dll
2010-01-06 17:20:03 ----A---- C:\Windows\system32\NlsData0026.dll
2010-01-06 17:20:03 ----A---- C:\Windows\system32\NlsData0024.dll
2010-01-06 17:20:03 ----A---- C:\Windows\system32\NlsData0022.dll
2010-01-06 17:20:03 ----A---- C:\Windows\system32\NlsData0021.dll
2010-01-06 17:20:03 ----A---- C:\Windows\system32\NlsData0020.dll
2010-01-06 17:20:02 ----A---- C:\Windows\system32\NlsData0027.dll
2010-01-06 17:20:02 ----A---- C:\Windows\system32\NlsData0018.dll
2010-01-06 17:20:02 ----A---- C:\Windows\system32\NlsData0013.dll
2010-01-06 17:20:02 ----A---- C:\Windows\system32\NlsData0011.dll
2010-01-06 17:20:02 ----A---- C:\Windows\system32\NlsData0010.dll
2010-01-06 17:20:01 ----A---- C:\Windows\system32\NlsData0019.dll
2010-01-06 17:20:01 ----A---- C:\Windows\system32\NlsData0003.dll
2010-01-06 17:20:01 ----A---- C:\Windows\system32\NlsData0002.dll
2010-01-06 17:20:01 ----A---- C:\Windows\system32\NlsData0001.dll
2010-01-06 17:20:01 ----A---- C:\Windows\system32\NlsData0000.dll
2010-01-06 17:20:00 ----A---- C:\Windows\system32\NlsData004b.dll
2010-01-06 17:20:00 ----A---- C:\Windows\system32\NlsData004a.dll
2010-01-06 17:20:00 ----A---- C:\Windows\system32\NlsData0009.dll
2010-01-06 17:20:00 ----A---- C:\Windows\system32\NlsData0007.dll
2010-01-06 17:19:59 ----A---- C:\Windows\system32\NlsData004e.dll
2010-01-06 17:19:59 ----A---- C:\Windows\system32\NlsData004c.dll
2010-01-06 17:19:59 ----A---- C:\Windows\system32\NlsData003e.dll
2010-01-06 17:19:59 ----A---- C:\Windows\system32\NlsData002a.dll
2010-01-06 17:19:58 ----A---- C:\Windows\system32\NlsData001d.dll
2010-01-06 17:19:58 ----A---- C:\Windows\system32\NlsData001b.dll
2010-01-06 17:19:58 ----A---- C:\Windows\system32\NlsData001a.dll
2010-01-06 17:19:57 ----A---- C:\Windows\system32\NlsData0414.dll
2010-01-06 17:19:57 ----A---- C:\Windows\system32\NlsData000f.dll
2010-01-06 17:19:57 ----A---- C:\Windows\system32\NlsData000d.dll
2010-01-06 17:19:57 ----A---- C:\Windows\system32\NlsData000c.dll
2010-01-06 17:19:57 ----A---- C:\Windows\system32\NlsData000a.dll
2010-01-06 17:19:56 ----A---- C:\Windows\system32\NlsData081a.dll
2010-01-06 17:19:56 ----A---- C:\Windows\system32\NlsData0816.dll
2010-01-06 17:19:56 ----A---- C:\Windows\system32\NlsData0416.dll
2010-01-06 17:19:56 ----A---- C:\Windows\system32\NaturalLanguage6.dll
2010-01-06 17:19:55 ----A---- C:\Windows\system32\NlsLexicons0c1a.dll
2010-01-06 17:19:55 ----A---- C:\Windows\system32\NlsData0c1a.dll
2010-01-06 17:17:45 ----A---- C:\Windows\system32\setupapi.dll
2010-01-06 17:17:20 ----A---- C:\Windows\system32\srclient.dll
2010-01-06 17:17:20 ----A---- C:\Windows\system32\rstrui.exe
2010-01-06 17:17:19 ----A---- C:\Windows\system32\wpd_ci.dll
2010-01-06 17:17:19 ----A---- C:\Windows\system32\winresume.exe
2010-01-06 17:17:19 ----A---- C:\Windows\system32\winload.exe
2010-01-06 17:17:19 ----A---- C:\Windows\system32\srdelayed.exe
2010-01-06 17:17:19 ----A---- C:\Windows\system32\srcore.dll
2010-01-06 17:17:19 ----A---- C:\Windows\system32\kd1394.dll
2010-01-06 17:17:18 ----A---- C:\Windows\system32\umpnpmgr.dll
2010-01-06 17:17:18 ----A---- C:\Windows\system32\drvinst.exe
2010-01-06 17:17:18 ----A---- C:\Windows\system32\dpx.dll
2010-01-06 17:17:18 ----A---- C:\Windows\system32\ci.dll
2010-01-06 17:17:18 ----A---- C:\Windows\system32\cfgmgr32.dll
2010-01-06 17:17:17 ----A---- C:\Windows\system32\oleaut32.dll
2010-01-06 17:17:17 ----A---- C:\Windows\system32\kbd106n.dll
2010-01-06 17:17:16 ----A---- C:\Windows\system32\unlodctr.exe
2010-01-06 17:17:16 ----A---- C:\Windows\system32\prflbmsg.dll
2010-01-06 17:17:16 ----A---- C:\Windows\system32\lodctr.exe
2010-01-06 17:17:16 ----A---- C:\Windows\system32\loadperf.dll
2010-01-06 17:17:15 ----A---- C:\Windows\system32\schedsvc.dll
2010-01-06 17:17:15 ----A---- C:\Windows\system32\f3ahvoas.dll
2010-01-06 17:17:15 ----A---- C:\Windows\system32\dispci.dll
2010-01-06 17:17:15 ----A---- C:\Windows\system32\batt.dll
2010-01-06 17:16:13 ----A---- C:\Windows\system32\rpcss.dll
2010-01-06 17:16:11 ----A---- C:\Windows\system32\printfilterpipelinesvc.exe
2010-01-06 17:16:11 ----A---- C:\Windows\system32\printfilterpipelineprxy.dll
2010-01-06 17:16:09 ----A---- C:\Windows\system32\sdohlp.dll
2010-01-06 17:16:09 ----A---- C:\Windows\system32\iasrecst.dll
2010-01-06 17:16:09 ----A---- C:\Windows\system32\iasdatastore.dll
2010-01-06 17:16:09 ----A---- C:\Windows\system32\iasads.dll
2010-01-06 17:15:35 ----A---- C:\Windows\system32\SLC.dll
2010-01-06 17:15:34 ----A---- C:\Windows\system32\slwmi.dll
2010-01-06 17:15:34 ----A---- C:\Windows\system32\mcbuilder.exe
2010-01-06 17:15:33 ----A---- C:\Windows\system32\SLUINotify.dll
2010-01-06 17:15:33 ----A---- C:\Windows\system32\SLUI.exe
2010-01-06 17:15:33 ----A---- C:\Windows\system32\SLLUA.exe
2010-01-06 17:15:33 ----A---- C:\Windows\system32\SLCommDlg.dll
2010-01-06 17:15:32 ----A---- C:\Windows\system32\SLsvc.exe
2010-01-06 17:15:32 ----A---- C:\Windows\system32\slcinst.dll
2010-01-06 17:14:24 ----A---- C:\Windows\system32\ntprint.exe
2010-01-06 17:14:24 ----A---- C:\Windows\system32\ntprint.dll
2010-01-06 17:14:23 ----A---- C:\Windows\system32\dhcpcsvc6.dll
2010-01-06 17:14:23 ----A---- C:\Windows\system32\dhcpcsvc.dll
2010-01-06 17:14:23 ----A---- C:\Windows\system32\dhcpcmonitor.dll
2010-01-06 17:14:22 ----A---- C:\Windows\system32\authui.dll
2010-01-06 17:14:20 ----A---- C:\Windows\system32\sendmail.dll
2010-01-06 16:27:21 ----A---- C:\Windows\system32\infocardapi.dll
2010-01-06 16:27:21 ----A---- C:\Windows\system32\icardres.dll
2010-01-06 16:27:21 ----A---- C:\Windows\system32\icardagt.exe
2010-01-06 16:27:18 ----A---- C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll
2010-01-06 16:27:17 ----A---- C:\Windows\system32\PresentationNative_v0300.dll
2010-01-06 16:27:17 ----A---- C:\Windows\system32\PresentationHostProxy.dll
2010-01-06 16:27:17 ----A---- C:\Windows\system32\PresentationHost.exe
2010-01-06 16:06:22 ----A---- C:\Windows\system32\dfshim.dll
2010-01-06 16:06:21 ----A---- C:\Windows\system32\netfxperf.dll
2010-01-06 16:06:20 ----A---- C:\Windows\system32\mscories.dll
2010-01-06 16:06:20 ----A---- C:\Windows\system32\mscorier.dll
2010-01-06 16:06:20 ----A---- C:\Windows\system32\mscoree.dll
2010-01-06 15:53:24 ----A---- C:\Windows\system32\Apphlpdm.dll
2010-01-06 15:53:22 ----A---- C:\Windows\system32\GameUXLegacyGDFs.dll
2010-01-06 15:53:22 ----A---- C:\Windows\system32\gameux.dll
2010-01-06 13:02:41 ----N---- C:\Windows\system32\MpSigStub.exe
2010-01-06 12:59:38 ----A---- C:\Windows\system32\msoert2.dll
2010-01-06 12:59:38 ----A---- C:\Windows\system32\msoeacct.dll
2010-01-06 12:59:38 ----A---- C:\Windows\system32\ACCTRES.dll
2010-01-06 12:57:35 ----A---- C:\Windows\system32\netevent.dll
2010-01-06 12:57:35 ----A---- C:\Windows\system32\MRINFO.EXE
2010-01-06 12:57:34 ----A---- C:\Windows\system32\TCPSVCS.EXE
2010-01-06 12:57:33 ----A---- C:\Windows\system32\NETSTAT.EXE
2010-01-06 12:57:33 ----A---- C:\Windows\system32\netiohlp.dll
2010-01-06 12:57:33 ----A---- C:\Windows\system32\HOSTNAME.EXE
2010-01-06 12:57:33 ----A---- C:\Windows\system32\finger.exe
2010-01-06 12:57:32 ----A---- C:\Windows\system32\ROUTE.EXE
2010-01-06 12:57:31 ----A---- C:\Windows\system32\ARP.EXE
2010-01-06 12:57:26 ----A---- C:\Windows\system32\tcpipcfg.dll
2010-01-06 12:57:26 ----A---- C:\Windows\system32\netiougc.exe
2010-01-06 12:54:34 ----A---- C:\Windows\system32\wtsapi32.dll
2010-01-06 12:54:31 ----A---- C:\Windows\system32\sysmain.dll
2010-01-06 12:53:47 ----A---- C:\Windows\system32\WebClnt.dll
2010-01-06 12:53:16 ----A---- C:\Windows\system32\L2SecHC.dll
2010-01-06 12:53:15 ----A---- C:\Windows\system32\wlansvc.dll
2010-01-06 12:53:15 ----A---- C:\Windows\system32\wlansec.dll
2010-01-06 12:53:15 ----A---- C:\Windows\system32\wlanmsm.dll
2010-01-06 12:53:15 ----A---- C:\Windows\system32\wlanhlp.dll
2010-01-06 12:53:15 ----A---- C:\Windows\system32\wlanapi.dll
2010-01-06 12:52:34 ----A---- C:\Windows\system32\msxml6r.dll
2010-01-06 12:52:34 ----A---- C:\Windows\system32\msxml6.dll
2010-01-06 12:52:34 ----A---- C:\Windows\system32\msxml3r.dll
2010-01-06 12:52:34 ----A---- C:\Windows\system32\msxml3.dll
2010-01-06 12:51:54 ----A---- C:\Windows\system32\t2embed.dll
2010-01-06 12:51:54 ----A---- C:\Windows\system32\lpk.dll
2010-01-06 12:51:54 ----A---- C:\Windows\system32\fontsub.dll
2010-01-06 12:51:54 ----A---- C:\Windows\system32\dciman32.dll
2010-01-06 12:51:54 ----A---- C:\Windows\system32\atmlib.dll
2010-01-06 12:51:54 ----A---- C:\Windows\system32\atmfd.dll
2010-01-06 12:51:25 ----A---- C:\Windows\system32\winsrv.dll
2010-01-06 12:51:25 ----A---- C:\Windows\system32\csrsrv.dll
2010-01-06 12:50:58 ----A---- C:\Windows\system32\rrinstaller.exe
2010-01-06 12:50:58 ----A---- C:\Windows\system32\mfps.dll
2010-01-06 12:50:58 ----A---- C:\Windows\system32\mfpmp.exe
2010-01-06 12:50:58 ----A---- C:\Windows\system32\mferror.dll
2010-01-06 12:50:58 ----A---- C:\Windows\system32\mf.dll
2010-01-06 12:50:57 ----A---- C:\Windows\system32\WMVCORE.DLL
2010-01-06 12:50:10 ----A---- C:\Windows\system32\tzres.dll
2010-01-06 12:47:56 ----A---- C:\Windows\system32\winhttp.dll
2010-01-06 12:47:23 ----A---- C:\Windows\system32\atl.dll
2010-01-06 12:46:21 ----A---- C:\Windows\system32\gdi32.dll
2010-01-06 12:45:29 ----A---- C:\Windows\system32\ntoskrnl.exe
2010-01-06 12:45:29 ----A---- C:\Windows\system32\ntkrnlpa.exe
2010-01-06 12:44:36 ----A---- C:\Windows\system32\mcupdate_GenuineIntel.dll
2010-01-06 12:44:13 ----A---- C:\Windows\system32\xolehlp.dll
2010-01-06 12:44:13 ----A---- C:\Windows\system32\msdtcprx.dll
2010-01-06 12:43:38 ----A---- C:\Windows\system32\wkssvc.dll
2010-01-06 12:43:08 ----A---- C:\Windows\system32\tsgqec.dll
2010-01-06 12:43:08 ----A---- C:\Windows\system32\aaclient.dll
2010-01-06 12:43:07 ----A---- C:\Windows\system32\mstscax.dll
2010-01-06 12:42:34 ----A---- C:\Windows\system32\wmpeffects.dll
2010-01-06 12:41:41 ----A---- C:\Windows\system32\msscp.dll
2010-01-06 12:40:47 ----A---- C:\Windows\system32\wfapigp.dll
2010-01-06 12:40:47 ----A---- C:\Windows\system32\MPSSVC.dll
2010-01-06 12:40:47 ----A---- C:\Windows\system32\icfupgd.dll
2010-01-06 12:40:47 ----A---- C:\Windows\system32\FirewallAPI.dll
2010-01-06 12:40:47 ----A---- C:\Windows\system32\cmifw.dll
2010-01-06 12:40:46 ----A---- C:\Windows\system32\iphlpsvc.dll
2010-01-06 12:40:23 ----A---- C:\Windows\system32\netapi32.dll
2010-01-06 12:38:55 ----A---- C:\Windows\system32\shell32.dll
2010-01-06 12:38:19 ----A---- C:\Windows\system32\localspl.dll
2010-01-06 12:37:56 ----A---- C:\Windows\system32\avicap32.dll
2010-01-06 12:37:55 ----A---- C:\Windows\system32\msvidc32.dll
2010-01-06 12:37:55 ----A---- C:\Windows\system32\msvfw32.dll
2010-01-06 12:37:55 ----A---- C:\Windows\system32\msrle32.dll
2010-01-06 12:37:55 ----A---- C:\Windows\system32\mciavi32.dll
2010-01-06 12:37:55 ----A---- C:\Windows\system32\avifil32.dll
2010-01-06 12:37:36 ----A---- C:\Windows\system32\DWWIN.EXE
2010-01-06 12:37:20 ----A---- C:\Windows\explorer.exe
2010-01-06 12:37:02 ----A---- C:\Windows\system32\hcrstco.dll
2010-01-06 12:37:02 ----A---- C:\Windows\system32\hccoin.dll
2010-01-06 12:36:50 ----A---- C:\Windows\system32\netcfg.exe
2010-01-06 12:35:16 ----A---- C:\Windows\system32\WMASF.DLL
2010-01-06 12:35:16 ----A---- C:\Windows\system32\LAPRXY.DLL
2010-01-06 12:35:16 ----A---- C:\Windows\system32\asferror.dll
2010-01-06 12:34:55 ----A---- C:\Windows\system32\kernel32.dll
2010-01-06 12:34:53 ----A---- C:\Windows\system32\apilogen.dll
2010-01-06 12:34:53 ----A---- C:\Windows\system32\amxread.dll
2010-01-06 12:34:21 ----A---- C:\Windows\system32\PhotoMetadataHandler.dll
2010-01-06 12:34:20 ----A---- C:\Windows\system32\WindowsCodecsExt.dll
2010-01-06 12:34:20 ----A---- C:\Windows\system32\WindowsCodecs.dll
2010-01-06 12:33:32 ----A---- C:\Windows\system32\nshhttp.dll
2010-01-06 12:33:32 ----A---- C:\Windows\system32\httpapi.dll
2010-01-06 12:31:37 ----A---- C:\Windows\system32\win32spl.dll
2010-01-06 12:31:37 ----A---- C:\Windows\system32\printcom.dll
2010-01-06 12:30:50 ----A---- C:\Windows\system32\wshrm.dll
2010-01-06 12:30:18 ----A---- C:\Windows\system32\wmpdxm.dll
2010-01-06 12:29:38 ----A---- C:\Windows\system32\sbunattend.exe
2010-01-06 12:28:53 ----A---- C:\Windows\system32\dnsrslvr.dll
2010-01-06 12:28:53 ----A---- C:\Windows\system32\dnsapi.dll
2010-01-06 12:28:52 ----A---- C:\Windows\system32\dnscacheugc.exe
2010-01-06 12:28:01 ----A---- C:\Windows\system32\WMNetMgr.dll
2010-01-06 12:28:01 ----A---- C:\Windows\system32\logagent.exe
2010-01-06 12:27:04 ----A---- C:\Windows\system32\INETRES.dll
2010-01-06 12:27:03 ----A---- C:\Windows\system32\inetcomm.dll
2010-01-06 12:26:40 ----A---- C:\Windows\system32\msasn1.dll
2010-01-06 12:26:18 ----A---- C:\Windows\system32\connect.dll
2010-01-06 12:25:59 ----A---- C:\Windows\system32\wmi.dll
2010-01-06 12:25:59 ----A---- C:\Windows\system32\imagehlp.dll
2010-01-06 12:25:10 ----A---- C:\Windows\system32\rpcrt4.dll
2010-01-06 12:24:49 ----A---- C:\Windows\system32\quartz.dll
2010-01-06 12:23:44 ----A---- C:\Windows\system32\rastls.dll
2010-01-06 12:23:44 ----A---- C:\Windows\system32\raschap.dll
2010-01-06 12:23:22 ----A---- C:\Windows\system32\WSDApi.dll
2010-01-06 12:23:00 ----A---- C:\Windows\system32\user32.dll
2010-01-06 12:22:04 ----A---- C:\Windows\system32\qmgr.dll
2010-01-06 12:21:52 ----A---- C:\Windows\system32\WMSPDMOD.DLL
2010-01-06 12:21:11 ----A---- C:\Windows\system32\wmploc.DLL
2010-01-06 12:21:09 ----A---- C:\Windows\system32\wmp.dll
2010-01-06 12:21:09 ----A---- C:\Windows\system32\spwmp.dll
2010-01-06 12:21:08 ----A---- C:\Windows\system32\dxmasf.dll
2010-01-06 12:21:05 ----A---- C:\Windows\system32\unregmp2.exe
2010-01-05 20:10:17 ----A---- C:\Windows\system32\wups2.dll
2010-01-05 20:10:17 ----A---- C:\Windows\system32\wucltux.dll
2010-01-05 20:10:17 ----A---- C:\Windows\system32\wuauclt.exe
2010-01-05 20:10:16 ----A---- C:\Windows\system32\wuaueng.dll
2010-01-05 20:09:48 ----A---- C:\Windows\system32\wups.dll
2010-01-05 20:09:48 ----A---- C:\Windows\system32\wudriver.dll
2010-01-05 20:09:48 ----A---- C:\Windows\system32\wuapi.dll
2010-01-05 20:09:28 ----A---- C:\Windows\system32\wuwebv.dll
2010-01-05 20:09:28 ----A---- C:\Windows\system32\wuapp.exe
2010-01-05 19:03:55 ----D---- C:\Program Files\Microsoft
2010-01-05 19:03:36 ----D---- C:\Program Files\Windows Live SkyDrive
2010-01-05 19:03:15 ----D---- C:\Program Files\Windows Live
2010-01-05 19:02:54 ----D---- C:\Windows\PCHEALTH
2010-01-05 16:57:00 ----D---- C:\Program Files\Common Files\Windows Live
2010-01-05 15:22:38 ----D---- C:\Users\user\AppData\Roaming\Macromedia
2010-01-05 15:22:37 ----D---- C:\Users\user\AppData\Roaming\Adobe
2010-01-05 15:21:46 ----D---- C:\Windows\system32\Macromed
2010-01-05 15:05:21 ----D---- C:\Users\user\AppData\Roaming\Mozilla
2010-01-05 15:05:12 ----D---- C:\Program Files\Mozilla Firefox
2010-01-05 14:43:26 ----D---- C:\ProgramData\Avira
2010-01-05 14:43:26 ----D---- C:\Program Files\Avira
2010-01-05 14:40:22 ----SHD---- C:\Windows\Installer
2010-01-05 05:21:22 ----RAS---- C:\BOOTSECT.BAK
2010-01-05 05:21:20 ----SHD---- C:\Boot
2010-01-05 05:20:46 ----D---- C:\Windows\system32\OEM
2010-01-05 05:20:46 ----D---- C:\Windows\PANTHER
2010-01-05 05:19:27 ----D---- C:\Windows\de-DE
2010-01-05 05:19:26 ----D---- C:\Windows\system32\de
2010-01-05 05:19:26 ----D---- C:\Windows\system32\0407
2010-01-04 22:36:01 ----D---- C:\ProgramData\Spybot - Search & Destroy
2010-01-04 22:36:01 ----D---- C:\Program Files\Spybot - Search & Destroy
2010-01-04 20:35:53 ----D---- C:\Users\user\AppData\Roaming\Identities
2010-01-04 20:35:47 ----SD---- C:\Users\user\AppData\Roaming\Microsoft
2010-01-04 20:35:47 ----D---- C:\Users\user\AppData\Roaming\Media Center Programs
2010-01-04 20:33:57 ----RA---- C:\Windows\system32\XceedCry.dll
2010-01-04 20:31:40 ----SHD---- C:\Programme
2010-01-04 20:31:40 ----SHD---- C:\ProgramData\Vorlagen
2010-01-04 20:31:40 ----SHD---- C:\Program Files\Gemeinsame Dateien
2010-01-04 20:31:39 ----SHD---- C:\ProgramData\Startmenü
2010-01-04 20:31:39 ----SHD---- C:\ProgramData\Favoriten
2010-01-04 20:31:39 ----SHD---- C:\ProgramData\Dokumente
2010-01-04 20:31:39 ----SHD---- C:\ProgramData\Anwendungsdaten
2010-01-04 20:31:39 ----SHD---- C:\Dokumente und Einstellungen
2010-01-04 20:26:04 ----D---- C:\Windows\SoftwareDistribution
2010-01-04 20:24:44 ----D---- C:\Windows\Debug
2010-01-04 20:23:04 ----D---- C:\Windows\Prefetch
2010-01-04 20:22:53 ----SHD---- C:\System Volume Information

======List of files/folders modified in the last 1 months======

2010-01-06 23:09:14 ----RD---- C:\Program Files
2010-01-06 23:09:11 ----D---- C:\Windows\Temp
2010-01-06 22:02:14 ----D---- C:\Windows\Microsoft.NET
2010-01-06 20:59:12 ----D---- C:\Windows\winsxs
2010-01-06 20:57:59 ----D---- C:\Windows\System32
2010-01-06 20:57:58 ----D---- C:\Windows\inf
2010-01-06 20:57:58 ----A---- C:\Windows\system32\PerfStringBackup.INI
2010-01-06 20:50:28 ----D---- C:\Windows\system32\migration
2010-01-06 20:50:28 ----D---- C:\Program Files\Internet Explorer
2010-01-06 20:50:27 ----D---- C:\Windows\system32\de-DE
2010-01-06 20:50:25 ----D---- C:\Windows\system32\en-US
2010-01-06 20:50:25 ----D---- C:\Windows\PolicyDefinitions
2010-01-06 20:43:03 ----RSD---- C:\Windows\assembly
2010-01-06 20:42:25 ----D---- C:\Windows\system32\catroot
2010-01-06 20:41:51 ----D---- C:\Windows\system32\catroot2
2010-01-06 20:39:30 ----D---- C:\Windows
2010-01-06 18:02:00 ----D---- C:\Windows\servicing
2010-01-06 17:55:44 ----D---- C:\Windows\rescache
2010-01-06 17:54:05 ----D---- C:\Windows\system32\drivers
2010-01-06 17:41:29 ----D---- C:\Windows\system32\ras
2010-01-06 17:41:29 ----D---- C:\Windows\system32\icsxml
2010-01-06 17:41:29 ----D---- C:\Program Files\Windows Mail
2010-01-06 17:41:29 ----D---- C:\Program Files\Windows Calendar
2010-01-06 17:41:29 ----D---- C:\Program Files\Common Files\System
2010-01-06 17:41:28 ----D---- C:\Windows\AppPatch
2010-01-06 17:41:28 ----D---- C:\Program Files\Windows Defender
2010-01-06 17:41:27 ----D---- C:\Windows\ehome
2010-01-06 17:41:25 ----D---- C:\Windows\system32\wbem
2010-01-06 17:41:25 ----D---- C:\Windows\system32\SLUI
2010-01-06 16:32:35 ----D---- C:\Windows\system32\XPSViewer
2010-01-06 13:46:54 ----D---- C:\Windows\system32\WDI
2010-01-06 13:23:07 ----ASH---- C:\Program Files\desktop.ini
2010-01-06 13:19:24 ----D---- C:\Windows\system32\manifeststore
2010-01-06 13:19:24 ----D---- C:\Program Files\Windows Sidebar
2010-01-06 12:21:20 ----D---- C:\Program Files\Windows Media Player
2010-01-05 20:27:43 ----D---- C:\Windows\Logs
2010-01-05 19:03:42 ----D---- C:\Program Files\Common Files\microsoft shared
2010-01-05 16:57:00 ----D---- C:\Program Files\Common Files
2010-01-05 16:56:56 ----SD---- C:\ProgramData\Microsoft
2010-01-05 15:26:48 ----D---- C:\Windows\system32\NDF
2010-01-05 14:43:26 ----HD---- C:\ProgramData
2010-01-05 05:19:27 ----D---- C:\Windows\WindowsMobile
2010-01-05 05:19:27 ----D---- C:\Windows\MSAgent
2010-01-05 05:19:27 ----D---- C:\Windows\IME
2010-01-05 05:19:27 ----D---- C:\Windows\DigitalLocker
2010-01-05 05:19:27 ----D---- C:\Program Files\Windows Photo Gallery
2010-01-05 05:19:27 ----D---- C:\Program Files\Windows Journal
2010-01-05 05:19:27 ----D---- C:\Program Files\Windows Collaboration
2010-01-05 05:19:27 ----D---- C:\Program Files\Movie Maker
2010-01-05 05:19:26 ----D---- C:\Windows\system32\winrm
2010-01-05 05:19:26 ----D---- C:\Windows\system32\WCN
2010-01-05 05:19:26 ----D---- C:\Windows\system32\sysprep
2010-01-05 05:19:26 ----D---- C:\Windows\system32\slmgr
2010-01-05 05:19:26 ----D---- C:\Windows\system32\setup
2010-01-05 05:19:26 ----D---- C:\Windows\system32\Printing_Admin_Scripts
2010-01-05 05:19:26 ----D---- C:\Windows\system32\oobe
2010-01-05 05:19:26 ----D---- C:\Windows\system32\MUI
2010-01-05 05:19:26 ----D---- C:\Windows\system32\migwiz
2010-01-05 05:19:26 ----D---- C:\Windows\system32\DriverStore
2010-01-05 05:19:26 ----D---- C:\Windows\system32\com
2010-01-05 05:19:26 ----D---- C:\Windows\system32\Branding
2010-01-05 05:19:26 ----D---- C:\Windows\system32\Boot
2010-01-04 21:59:33 ----D---- C:\Windows\system32\restore
2010-01-04 20:36:05 ----SHD---- C:\$Recycle.Bin
2010-01-04 20:35:46 ----RD---- C:\Users
2010-01-04 20:31:40 ----D---- C:\Program Files\Windows NT

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-11-25 56816]
R3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athr.sys [2009-09-05 1183744]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2010-01-06 14208]
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
R3 igfx;igfx; C:\Windows\system32\DRIVERS\igdkmd32.sys [2008-02-11 2302976]
R3 KMWDFILTER;HIDUASDesc; C:\Windows\system32\DRIVERS\KMWDFILTER.sys [2008-10-09 17408]
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2009-11-16 216576]
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2010-01-06 11264]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2006-11-02 5632]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2006-11-02 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2006-11-02 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2006-11-02 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2006-11-02 6016]
S4 JRAID;JRAID; C:\Windows\system32\drivers\jraid.sys [2007-05-09 48640]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 SBSDWSCService;SBSD Security Center Service; C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]

-----------------EOF-----------------

info.txt logfile of random's system information tool 1.06 2010-01-06 23:10:09

======Uninstall list======

Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Intel(R) Graphics Media Accelerator Driver-->C:\Windows\system32\igxpun.exe -uninstall
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Essentials-->C:\Program Files\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Mail-->MsiExec.exe /I{C4D738F7-996A-4C81-B8FA-C4E26D767E41}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}

======Security center information======

AV: AntiVir Desktop
AS: AntiVir Desktop
AS: Spybot - Search and Destroy (disabled)
AS: Windows-Defender

======System event log======

Computer Name: user-PC
Event Code: 1103
Message: Dem Computer wurde erfolgreich eine Netzwerkadresse zugeteilt. Eine Verbindung mit anderen Computern kann nun hergestellt werden.
Record Number: 31081
Source Name: Microsoft-Windows-Dhcp-Client
Time Written: 20100106210017.000000-000
Event Type: Informationen
User:

Computer Name: user-PC
Event Code: 7040
Message: Der Starttyp des Diensts "Microsoft .NET Framework NGEN v2.0.50727_X86" wurde von Automatisch starten in Manuell starten geändert.
Record Number: 31082
Source Name: Service Control Manager
Time Written: 20100106210214.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: user-PC
Event Code: 7036
Message: Dienst "Microsoft .NET Framework NGEN v2.0.50727_X86" befindet sich jetzt im Status "Beendet".
Record Number: 31083
Source Name: Service Control Manager
Time Written: 20100106210215.000000-000
Event Type: Informationen
User:

Computer Name: user-PC
Event Code: 1103
Message: Dem Computer wurde erfolgreich eine Netzwerkadresse zugeteilt. Eine Verbindung mit anderen Computern kann nun hergestellt werden.
Record Number: 31084
Source Name: Microsoft-Windows-Dhcp-Client
Time Written: 20100106214518.000000-000
Event Type: Informationen
User:

Computer Name: user-PC
Event Code: 7036
Message: Dienst "Anwendungsinformationen" befindet sich jetzt im Status "Ausgeführt".
Record Number: 31085
Source Name: Service Control Manager
Time Written: 20100106220857.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: user-PC
Event Code: 8219
Message: Beim Erweitern der Dateispezifikation \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy11\Windows\softwaredistribution\Download\5d7f15f2b764c278a7ffd0d37add0d96\*.* ist ein Fehler aufgetreten. Dieser Vorgang wurde für den Abonnenten WUA durchgeführt.

Vorgang:
OnPostSnapshot-Ereignis
PostSnapshot-Ereignis

Kontext:
Ausführungskontext: Shadow Copy Optimization Writer
Ausführungskontext: Writer
Generatorklassen-ID: {4dc3bdd4-ab48-4d07-adb0-3bee2926fd7f}
Generatorname: Shadow Copy Optimization Writer
Generatorinstanz-ID: {5f911b26-2337-45d4-873a-361ffff7b6c6}
Record Number: 485
Source Name: VSS
Time Written: 20100106195938.000000-000
Event Type: Informationen
User:

Computer Name: user-PC
Event Code: 8219
Message: Beim Erweitern der Dateispezifikation \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy11\Windows\softwaredistribution\Download\*.* ist ein Fehler aufgetreten. Dieser Vorgang wurde für den Abonnenten WUA durchgeführt.

Vorgang:
OnPostSnapshot-Ereignis
PostSnapshot-Ereignis

Kontext:
Ausführungskontext: Shadow Copy Optimization Writer
Ausführungskontext: Writer
Generatorklassen-ID: {4dc3bdd4-ab48-4d07-adb0-3bee2926fd7f}
Generatorname: Shadow Copy Optimization Writer
Generatorinstanz-ID: {5f911b26-2337-45d4-873a-361ffff7b6c6}
Record Number: 486
Source Name: VSS
Time Written: 20100106195938.000000-000
Event Type: Informationen
User:

Computer Name: user-PC
Event Code: 8219
Message: Beim Erweitern der Dateispezifikation \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy11\Windows\softwaredistribution\*.* ist ein Fehler aufgetreten. Dieser Vorgang wurde für den Abonnenten WUA durchgeführt.

Vorgang:
OnPostSnapshot-Ereignis
PostSnapshot-Ereignis

Kontext:
Ausführungskontext: Shadow Copy Optimization Writer
Ausführungskontext: Writer
Generatorklassen-ID: {4dc3bdd4-ab48-4d07-adb0-3bee2926fd7f}
Generatorname: Shadow Copy Optimization Writer
Generatorinstanz-ID: {5f911b26-2337-45d4-873a-361ffff7b6c6}
Record Number: 487
Source Name: VSS
Time Written: 20100106195938.000000-000
Event Type: Informationen
User:

Computer Name: user-PC
Event Code: 8220
Message: Beim Löschen der Dateien ist eine Zeitüberschreitung aufgetreten.

Vorgang:
OnPostSnapshot-Ereignis
PostSnapshot-Ereignis

Kontext:
Ausführungskontext: Shadow Copy Optimization Writer
Ausführungskontext: Writer
Generatorklassen-ID: {4dc3bdd4-ab48-4d07-adb0-3bee2926fd7f}
Generatorname: Shadow Copy Optimization Writer
Generatorinstanz-ID: {5f911b26-2337-45d4-873a-361ffff7b6c6}
Record Number: 488
Source Name: VSS
Time Written: 20100106200009.000000-000
Event Type: Informationen
User:

Computer Name: user-PC
Event Code: 8224
Message: Der VSS-Dienst wird aufgrund eines Leerlaufzeitlimits heruntergefahren.
Record Number: 489
Source Name: VSS
Time Written: 20100106200336.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: user-PC
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: USER-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Zielserver:
Zielservername: localhost
Weitere Informationen: localhost

Prozessinformationen:
Prozess-ID: 0x1f0
Prozessname: C:\Windows\System32\services.exe

Netzwerkinformationen:
Netzwerkadresse: -
Port: -

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 1563
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100106195933.274690-000
Event Type: Überwachung erfolgreich
User:

Computer Name: user-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: USER-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7

Anmeldetyp: 5

Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
Prozess-ID: 0x1f0
Prozessname: C:\Windows\System32\services.exe

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 1564
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100106195933.274690-000
Event Type: Überwachung erfolgreich
User:

Computer Name: user-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7

Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 1565
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100106195933.274690-000
Event Type: Überwachung erfolgreich
User:

Computer Name: user-PC
Event Code: 4904
Message: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: USER-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7

Prozess:
Prozess-ID: 0x118
Prozessname: C:\Windows\System32\VSSVC.exe

Ereignisquelle:
Quellenname: VSSAudit
Ereignisquellen-ID: 0x34b659
Record Number: 1566
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100106200036.938290-000
Event Type: Überwachung erfolgreich
User:

Computer Name: user-PC
Event Code: 4905
Message: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: USER-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7

Prozess:
Prozess-ID: 0x118
Prozessname: C:\Windows\System32\VSSVC.exe

Ereignisquelle:
Quellenname: VSSAudit
Ereignisquellen-ID: 0x34b659
Record Number: 1567
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100106200036.938290-000
Event Type: Überwachung erfolgreich
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 22 Stepping 1, GenuineIntel
"PROCESSOR_REVISION"=1601
"NUMBER_OF_PROCESSORS"=1

-----------------EOF-----------------

cosinus · 08.01.2010, 12:55

- deinstalliere Spybit S&D (v.a. der Teatimer ist sch..!!)
- Vista update durchführen (SP1, SP2 installieren)

05.01.2010, 12:46	#3
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	winlogon.exe/csrss.exe ? jemand entscheidet was ich darf und was nicht..Trojaner? @Der_Idiot: Was soll sowas? Gehts noch sinnfreier? Lass solche Schwachsinnspostings bitte in Zukunft. __________________ __________________

05.01.2010, 20:37	#7
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	winlogon.exe/csrss.exe ? jemand entscheidet was ich darf und was nicht..Trojaner? Hm vllt kannst Du mal beschreiben, wie Du genau mit dem Notebook ins Internet gehst. Kabel, WLAN, wenn WLAN isses verschlüsselt, wenn nein warum nicht, wenn ja wie, WEP oder WPA... __________________ Logfiles bitte immer in CODE-Tags posten

08.01.2010, 12:55	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	winlogon.exe/csrss.exe ? jemand entscheidet was ich darf und was nicht..Trojaner? - deinstalliere Spybit S&D (v.a. der Teatimer ist sch..!!) - Vista update durchführen (SP1, SP2 installieren) __________________ Logfiles bitte immer in CODE-Tags posten

winlogon.exe/csrss.exe ? jemand entscheidet was ich darf und was nicht..Trojaner?

Plagegeister aller Art und deren Bekämpfung: winlogon.exe/csrss.exe ? jemand entscheidet was ich darf und was nicht..Trojaner?