Rootkit/Trojaner on board?
 

Hallo zusammen,

ich möchte euch gern mal mein Log-File posten.

Mein Rechner scheint ständig irgendetwas zu empfangen wenn ich dem glaube was Zonelabs anzeigt. Das Lämpchen bei eingehemden Traffic blinkt permanent.
Bei den Prozessen die oben rechts anzeigen welches Programm aufs Netz zugreift od. so ähnlich handelt es sich um:

*Generic Host
*ICQ Libary: Anschlusserkennung an folgenden Ports gesperrt: TCP ***
*Generic Host
*Firefox: Anschlusserkennung an folgenden Ports gesperrt: TCP ***, TCP ***

Stutzig macht mich auch, dass seit heute der Prozess smss.exe gestartet ist. Das war sonst nie der Fall.

Trotz installiertem Antivir bekomme ich im Sicherheitscenter die Meldung " ANTIVIR HAT GEMELDET DASS ES DEAKTIVIERT IST..... "

Beim Starten von DCOMCONFIG hat zonealarm gemeldet, dass dllhost.exe verbindung zu ip ***.***.***.** aufnehmen wollte. Das ist doch auch nicht normal, oder!?
Das Log-File von Zonelabs weist unmengen an einträgen wie

ACCESS,2007/08/24,21:22:06 +2:00 GMT,FlashGet wurde blockiert von eine Verbindung akzeptiert von, das Internet (**.***.**.***:MTP).,N/A,N/A

ACCESS,2007/08/24,21:22:06 +2:00 GMT,FlashGet wurde blockiert von eine Verbindung akzeptiert von, das Internet (**.***.***.***:Port 3004).,N/A,N/A

FWOUT,2007/08/24,21:27:18 +2:00 GMT,192.***.**.***:4664,192.***.**.***:53,UDP

Wo bei der FWOUT eintrag nur einmal drin steht und es sich bei der ip um meine handelt.

Beim Ausführen von netstat erhalte ich einige einträge die wie folgt aussehen. Da stimmt doch irgendwas nicht oder?!

UDP 0.0.0.0:1026 *:* 768
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
-- unbekannte Komponente(n) -- Da wird doch etwas versteckt?!
[svchost.exe]

UDP 0.0.0.0:1047 *:* 768
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

Vor ein paar Tagen hat Antivir beim Scannen die Viren :
*Virus JAVA/RedBrowser.A.2
*Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.PL.1
Die Dateien wurden gelöscht.

Hier jetzt mein Log-File

Es wäre nett von euch wenn ihr mir helfen könntet.

Hallöle.

Handelt es sich hier mit absoluter Sicherheit um deine IP Adresse? Und wie und wann hast du deine IP Addi herausgefunden?

Magst du die Sternchen bitte wieder zu Ziffern verwandeln... Selbst wenn es deine IP Adresse wäre dann könnte eh niemand was damit anfangen..


Dann brauchen wir einen besseren Überblick:



Gruß

Undoreal

Hallo,

es handelt sich dabei um die von meinem router mir zugeteilte IP !

JAVA kann ich nicht deinstallieren. Ich bekomme den fehler "AUF DEN WINDOWS-INSTALLERDIENST KONNTE NICHT ZUGEGRIFFEN WERDEN. DIES KANN AUFTRETEN WENN WINDOWS IM ABGESICHTERTEN MODUS AUSGEFÜHRT WIRD ODER WENN WINDOWS INSTALLER NICHT KORREKT INSTALLIERT WURDE. SETZTEN SICH SICH MIT SUPPORTTEAMPERSONAL ....... "

Soll ich trotzdem alle weiteren Schritte machen ?

Ziemlich ungewöhnlich. Denn das ist keine Adresse mehr aus dem privaten Bereich.
Privat wären z.B. IP-Adressen die so aussehen: 192.168.*.*

192.2.0.0 ist lt. WHOIS-Abfrage aus dem US-Amerikanischen Raum. Muss aber nicht zwangsläufig was Böses sein.

Ich kann mir deswegen nicht vorstellen, dass dein Router dir für dein internes LAN eine solche Adresse vergibt. Überprüf das bitte mal mit ipconfig.

Hi cosinus

das sehe ich genauso aber der TO will ja partout nicht mit "seiner" IP rausrücken..

Injection bitte poste hier den original, uneditiereten HJT Eintrag:

das ist natürlich bescheiden.
Rufe mal bitte cCleaner auf und gehe dort auf Extras. Lösche JAVA (wenn vorhanden) aus dem AutoStart und versuche es über cCleaner zu deinstallieren. Wenn das auch nicht klappt lösche einfach brutal den JAVA oder Sun Ordner und durchsuche danach wie in dem Link meiner Signatur "Suchen und Finden von Dateien" beschrieben nach den Schlüsselwörtern "Sun" und "Java" alles löschen was gefunden wird!

Danach geht's weiter mit cosinus Frage nach ipconfig meiner nach den uneditierten IPs und dann mit den anderen Schritten.

lg

Undoreal

Wieso ist das ungewöhnlich ? Die mir vom router intern zugeteilte ip sieht doch niemand. Daher ist es doch egal wie sie aussieht. und man kann ja selber dem router seine eigene ip ändern und dann vergibt er ja auch dem entsprechend in den gewählten ranges die ip´s .

Die IP ist 192.243.69.149. Aber wozu ist das denn so wichtig ???

Blacklight findet nichts. Das hier ist das Log von Silent Runners.

Wozu dienen eigentlich immer diese Desktop.ini files ??

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"RMETray" = "digi96.exe" ["RME"]
"Flashget" = "C:\Programme\FlashGet\FlashGet.exe /min" ["FlashGet.com"]
"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"Matrox PowerDesk SE" = ""c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"" ["Matrox Graphics Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}\(Default) = "flashget urlcatch"
-> {HKLM...CLSID} = "FGCatchUrl"
\InProcServer32\(Default) = "C:\Programme\FlashGet\jccatch.dll" ["www.flashget.com"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
{F156768E-81EF-470C-9057-481BA8380DBA}\(Default) = (no title provided)
-> {HKLM...CLSID} = "FlashGet GetFlash Class"
\InProcServer32\(Default) = "C:\Programme\FlashGet\getflash.dll" ["www.flashget.com"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "Nokia Phone Browser"
-> {HKLM...CLSID} = "Nokia Phone Browser"
\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{EF479680-EA35-4EA9-B093-7114F3E3E0DA}" = "Directory Lister"
-> {HKLM...CLSID} = "ShlMenu Class"
\InProcServer32\(Default) = "C:\Programme\Directory Lister Pro\DirListerExt.dll" ["KRKsoft.com"]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\wpdshserviceobj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
DirLister\(Default) = "{EF479680-EA35-4EA9-B093-7114F3E3E0DA}"
-> {HKLM...CLSID} = "ShlMenu Class"
\InProcServer32\(Default) = "C:\Programme\Directory Lister Pro\DirListerExt.dll" ["KRKsoft.com"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
%SystemRoot%\system32\mswsock.dll [MS], 1 - 3
%SystemRoot%\system32\rsvpsp.dll [MS], 4 - 5


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{D6E814A0-E0C5-11D4-8D29-0050BA6940E3}\
"ButtonText" = "FlashGet"
"MenuText" = "FlashGet"
"Exec" = "C:\Programme\FlashGet\FlashGet.exe" ["FlashGet.com"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
MGABGEXE, MGABGEXE, "C:\WINDOWS\system32\mgabg.exe" ["Matrox Graphics Inc."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON Stylus DX4000 Series 32MonitorBE\Driver = "E_FLBBEE.DLL" ["SEIKO EPSON CORPORATION"]


---------- (launch time: 2007-08-26 00:02:47)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 92 seconds.
---------- (total run time: 160 seconds)

Das ist keine Standardeinstellung, die hast du doch geändert!
Es ist schon wichtig, da z.B. 192.243.69.149 eine öffentliche IP-nummer ist, die durchaus im Internet jmd. anderem genutzt wird - sowas im privaten LAN zu betreiben ist m.E. richtiger Murks. Nur private Adressen werden im Internet nicht geroutet!

Änder die ab in irgendeinem privaten Adressraum, also z.B. 192.168.*.*
(es gibt noch mehr private Adressräume)

Ok weiter im Text:

GMER LOG:

COMBOFIX LOG-FILE

COMBOFIX LOG-FILE

COMBOFIX LOG-FILE

Morgen.

Lasse bitte folgende Dateien auf VT überprüfen:

" C:\WINDOWS\zllsputility_loc0407.dll "

" C:\WINDOWS\zllsputility.exe "

" C:\WINDOWS\system32\zllictbl.dat "

Wozu nutzt du "Nir" ?

Überprüfe bitte die Größe folgender Datei: " C:\WINDOWS\iun6002.exe "

724992 Byte , 737280 Byte ? Wenn nicht lade sie bitte bei VT hoch..

Gruß

Undoreal

Hallo Undoreal,

vielen Dank erstmal soweit.

zllsputility_loc0407.dll: KEIN ERGEBNIS / KEIN VIRUS
zllsputility.exe: KEIN ERGEBNIS / KEIN VIRUS
zllictbl.dat: KEIN ERGEBNIS / KEIN VIRUS

iun6002.exe: 724.992 bytes

Was meinst du mit "nir" ???

Kann es sein, dass das System sobald ich onl. gehe eine mir nicht sichtbare Partition mounted. Die immer wieder getrennt wird wenn ich bzw der Server dann offl. geht!? Ist nur so eine waage Vermutung von mir ?!

In der Registry hab ich diese Einträge gefunden. Weis jetzt nicht ob die Standart sind oder nicht.

\??\Volume{23b9a234-33c2-11dc-b756-806d6172696f}
\??\Volume{23b9a235-33c2-11dc-b756-806d6172696f}
\??\Volume{23b9a236-33c2-11dc-b756-87061987558b}
\??\Volume{23b9a237-33c2-11dc-b756-87061987558b}
\??\Volume{341ddf94-3c6b-11dc-b25f-806d6172696f}
\??\Volume{38a6a804-0d84-11dc-bd0b-806d6172696f}
\??\Volume{38a6a805-0d84-11dc-bd0b-806d6172696f}
\??\Volume{38a6a807-0d84-11dc-bd0b-806d6172696f}
\??\Volume{38a6a808-0d84-11dc-bd0b-806d6172696f}
\??\Volume{38a6a809-0d84-11dc-bd0b-806d6172696f}
\??\Volume{38a6a80a-0d84-11dc-bd0b-806d6172696f}
\??\Volume{38a6a80c-0d84-11dc-bd0b-806d6172696f}
\??\Volume{ac238761-51f1-11dc-b288-8c764b8e5d89}
\DosDevices\A:
\DosDevices\C:
\DosDevices\D:
\DosDevices\E:
\DosDevices\F:
\DosDevices\G:
\DosDevices\H:

Ich habe nämlich lediglich HDD1 (C:+E:), HDD2 (D:) und F: (DVD-Brenner)

Als ich mir meinen Rechner die Nacht über ansah stellte ich auch fest, dass irgendetwas od irgendjemand auf meinem PC sehr großer MSXML-Fan zu sein scheint. Denn es wurde jede Menge XML Kram irgendwie überallhin installiert. (Microsoft XML Core Services) sowie Microsoft .NET Framework´s Dateien etc.

Ich hab auch mal Filelist laufen lassen, vlt. gibt das ja noch einen Aufschluss:

Was sind das für *.ini files im %windir% :
Könntest du die mal aufmachen und den Inhalt posten?