Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Mein Ist Befallen !!!!! Hilfe (https://www.trojaner-board.de/53406-befallen-hilfe.html)

Sch00lwa 03.06.2008 22:34
Mein Ist Befallen !!!!! Hilfe
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo Leute vor wenigen Tagen fing mein AV (avira antivir) an zu spinnen vorerst hab ich mir nichts dabei gedacht

-es lies sich nicht updaten
-es stürtzte ständig ab als ich es öffnete
-und lässt sich nicht mehr deinstallieren es kommt folgende meldung :

Avira antivir kann nicht deinstalliert werden weil es möglicherweise beschädigt oder verändert ist ... so in etwa

Nun hab ich auch gemerkt das weitere programme nciht funktionieren es scheint so als ob jemand diese programme für meinen pc ausgeschaltete hat :

Zone Alarm kann nicht installiert werden weil: eine andere FIREWALL PC-Cillin bereits installiert ist nur ich hab dieses Programm nciht installiert.. so weiter

ccCleaner ist nach jedem Neustart des pc nicht zu öffnen obwohl es installiert ist

Avira antivir
AVG antivirus
F-Secure

lassen sich nicht installieren bzw stürzen im install.vorgang ab

mit TuneUP utillities kann ich folgende funktionen nicht benutzten:

-TuneUp Diskcleaner
-TuneUp RegistryCleaner

WICHTIG:::: In einem Zeitraum von etwa 2 Stunden konnte ich GARNICHT ins Internet, die Verbindung war völlig in ordnung nur konnte ich mich bei ICQ UND MSN nicht anmelden und mit OPERA und FIREFOX konnte man keine Seite aufrufen.

Ich weiß nicht mehr weiter ich hab auch ONLINE SCANS versucht nur diese Seiten konnten nicht geöffnet werden -_- :koch::koch::koch::koch::koch:


Eine Sache noch der jenige der wahscheinlich den Trojaner oder was es auch ist geschrieben hat, hat mir 2 Meldungen auf dem Desktop erscheinen lassen
ich habe eine JPG Datei im Anhang wo diese Meldungen sind.

Kurze Zusammenfassung:

Symthome:
1
Programme wie Zonealram,Avira Antivirr, AVG antivirus, F-Secure, TuneUp Utillities, CCleaner
-funktionieren garnicht mehr

2
Internetverbindung ist gegeben:
-anmelden bei MSN und ICQ nicht möglich
-teilweise funktionieren FIREFOX und OPERA garnicht

3
PC kann nicht im Abgesichertenmodus gestarte werden



Ich hoffe sehr das jemand von euch mir weiterhelfen kann bis dann Leute

Gruß Matthias

KarlKarl 03.06.2008 22:42
Hi,

das sieht doch sehr nach einem alten Freund aus. Mach bitte die beiden folgenden Scans:

Blacklight scannen lassen
  • Lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
  • Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
  • Klicke "I accept the agreement", "next", "Scan".
  • wenn der Scan zuende ist, wähle "Close".
  • Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis, anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten. Den Inhalt dieser Datei bitte posten.

Wir wollen uns mal den Inhalt einiger kritischer Verzeichnisse auf deinem System ansehen. Dazu arbeite bitte diese Anleitung ab.

Gruß, Karl

Sch00lwa 04.06.2008 15:47
Erstmal danke das du mir so schnell geantwortet hast :D:D:D
hier die FILELIST Einträge,
es ist schon krass das da einträge von 1996 waren :D

Code:

----- Root -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 38D9-E427

 Verzeichnis von C:\

04.06.2008  16:06    2.146.881.536 hiberfil.sys
04.06.2008  16:06    2.145.386.496 pagefile.sys
04.06.2008  16:05              233 boot.ini
03.06.2008  14:30              268 sqmdata00.sqm
03.06.2008  14:30              244 sqmnoopt00.sqm
01.02.2008  16:34                0 IO.SYS
01.02.2008  16:34                0 MSDOS.SYS
01.02.2008  16:34                0 AUTOEXEC.BAT
01.02.2008  16:34                0 CONFIG.SYS
04.08.2004  14:00            4.952 bootfont.bin
04.08.2004  14:00          251.184 ntldr
04.08.2004  14:00            47.564 NTDETECT.COM
              12 Datei(en)  4.292.572.477 Bytes
              0 Verzeichnis(se), 182.435.078.144 Bytes frei
 
----- System32 -------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 38D9-E427

 Verzeichnis von C:\WINDOWS\system32

04.06.2008  16:07            2.206 wpa.dbl
03.06.2008  23:43            54.785 RootkitReveal.txt
03.06.2008  14:39          494.176 perfh009.dat
03.06.2008  14:39          522.278 perfh007.dat
03.06.2008  14:39            91.730 perfc009.dat
03.06.2008  14:39          111.174 perfc007.dat
03.06.2008  14:39        1.233.438 PerfStringBackup.INI
30.05.2008  01:05                5 SySatm.dat
22.05.2008  16:23                34 DVDRippper_sysquict.dat
15.05.2008  11:30          208.896 TubeFinder.exe
09.05.2008  23:44          107.888 CmdLineExt.dll
09.05.2008  23:35        16.863.864 MRT.exe
07.05.2008  16:05            12.921 SpoonUninstall-dBpoweramp Music Converter.dat
07.05.2008  16:04            33.846 SpoonUninstall-dBpoweramp Music Converter.bmp
07.05.2008  16:04        4.230.520 SpoonUninstall.exe
02.05.2008  23:05          115.768 FNTCACHE.DAT
22.04.2008  22:10          103.736 PnkBstrB.exe
03.04.2008  20:02              664 d3d9caps.dat
30.03.2008  00:57            1.928 rounders.dat
28.03.2008  23:37            57.344 QuickTime.qts
28.03.2008  23:37            90.112 QuickTimeVR.qtx
28.03.2008  16:31                17 '
25.03.2008  06:51          621.344 mswstr10.dll
25.03.2008  06:51          187.168 msjint40.dll
25.03.2008  06:50          355.104 msxbde40.dll
25.03.2008  06:50          838.432 mswdat10.dll
25.03.2008  06:50          264.992 mstext40.dll
25.03.2008  06:50          559.904 msrepl40.dll
25.03.2008  06:50          322.336 msrd3x40.dll
25.03.2008  06:50          432.928 msrd2x40.dll
25.03.2008  06:50          355.104 mspbde40.dll
25.03.2008  06:50          219.936 msltus40.dll
25.03.2008  06:50          248.608 msjtes40.dll
25.03.2008  06:50            60.192 msjter40.dll
25.03.2008  06:50          355.112 msjetoledb40.dll
25.03.2008  06:50        1.516.568 msjet40.dll
25.03.2008  06:50          326.432 msexcl40.dll
25.03.2008  06:50          518.944 msexch40.dll
24.03.2008  16:01            15.872 lbhkm%.sys
20.03.2008  10:03        1.845.376 win32k.sys
15.03.2008  01:18            65.536 Dvdaudio.ax
15.03.2008  01:18            86.528 Dvdvideo.ax
11.03.2008  17:33            16.832 amcompat.tlb
11.03.2008  17:33            23.392 nscompat.tlb
07.03.2008  16:47            6.641 jupdate-1.6.0_05-b13.log
06.03.2008  23:29            4.924 jupdate-1.6.0_02-b06.log
28.02.2008  01:43            66.872 PnkBstrA.exe
27.02.2008  16:57            34.064 lhacm.acm
22.02.2008  14:53          127.254 nvapps.xml
22.02.2008  03:33          139.264 javaws.exe
22.02.2008  03:33            69.632 javacpl.cpl
22.02.2008  02:23          135.168 javaw.exe
22.02.2008  02:23          135.168 java.exe
21.02.2008  04:11            3.136 dtu_de.qm
21.02.2008  04:05          524.288 DivXsm.exe
21.02.2008  04:05            4.816 divxsm.tlb
21.02.2008  04:05            10.152 dsm_de.qm
21.02.2008  04:05        3.596.288 qt-dx331.dll
21.02.2008  04:05          200.704 ssldivx.dll
21.02.2008  04:05        1.044.480 libdivx.dll
21.02.2008  04:04            81.920 dpl100.dll
21.02.2008  04:04              416 dtu100.dll.manifest
21.02.2008  04:04              416 dpl100.dll.manifest
21.02.2008  04:04          196.608 dtu100.dll
21.02.2008  04:04            53.248 dpuGUI10.dll
21.02.2008  04:04          593.920 dpuGUI11.dll
21.02.2008  04:04          344.064 dpus11.dll
21.02.2008  04:04            57.344 dpv11.dll
21.02.2008  04:04          294.912 dpu11.dll
21.02.2008  04:04          294.912 dpu10.dll
21.02.2008  04:04          682.496 DivX.dll
21.02.2008  04:04          823.296 divx_xx0c.dll
21.02.2008  04:04          823.296 divx_xx07.dll
21.02.2008  04:04          802.816 divx_xx11.dll
21.02.2008  04:03          630.784 divxdec.ax
21.02.2008  04:03          352.401 DivXMedia.ax
21.02.2008  04:03          156.992 DivXCodecVersionChecker.exe
21.02.2008  04:03            12.288 DivXWMPExtType.dll
21.02.2008  04:03            8.523 dpude.qm
20.02.2008  08:50          282.624 gdi32.dll
20.02.2008  07:33            45.568 dnsrslvr.dll
20.02.2008  07:33          148.992 dnsapi.dll
17.02.2008  00:29        3.080.704 mshtml.dll
16.02.2008  10:59          617.984 urlmon.dll
16.02.2008  10:59          474.624 shlwapi.dll
16.02.2008  10:59        1.494.528 shdocvw.dll
16.02.2008  10:59          665.088 wininet.dll
16.02.2008  10:59          449.024 mshtmled.dll
16.02.2008  10:59          532.480 mstime.dll
16.02.2008  10:59            39.424 pngfilt.dll
16.02.2008  10:59          146.432 msrating.dll
16.02.2008  10:59          251.392 iepeers.dll
16.02.2008  10:59            16.384 jsproxy.dll
16.02.2008  10:59          205.312 dxtrans.dll
16.02.2008  10:59          357.888 dxtmsft.dll
16.02.2008  10:59            96.768 inseng.dll
16.02.2008  10:59            55.808 extmgr.dll
16.02.2008  10:59          152.064 cdfview.dll
16.02.2008  10:59        1.056.256 danim.dll
16.02.2008  10:59        1.023.488 browseui.dll
16.02.2008  01:03          374.272 xpsp3res.dll
04.02.2008  11:59            49.152 apache.dll
02.02.2008  16:42            6.442 ijjiSetup.log
02.02.2008  04:04          138.558 TZLog.log
02.02.2008  02:46            4.212 zllictbl.dat
01.02.2008  16:50          146.650 BuzzingBee.wav
01.02.2008  16:50          940.794 LoopyMusic.wav
01.02.2008  16:35              261 $winnt$.inf
01.02.2008  16:34            2.951 CONFIG.NT
01.02.2008  16:33              488 WindowsLogon.manifest
01.02.2008  16:33              488 logonui.exe.manifest
01.02.2008  16:33              749 wuaucpl.cpl.manifest
01.02.2008  16:33              749 sapi.cpl.manifest
01.02.2008  16:33              749 cdplayer.exe.manifest
01.02.2008  16:33              749 ncpa.cpl.manifest
01.02.2008  16:33              749 nwc.cpl.manifest
01.02.2008  16:32            21.740 emptyregdb.dat
01.02.2008  16:30                0 h323log.txt
04.01.2008  23:58          187.128 pxmas.dll
04.01.2008  23:58        1.628.920 pxsfs.dll
04.01.2008  23:58          118.520 pxinsi64.exe
04.01.2008  23:58            64.760 pxinsa64.exe
04.01.2008  23:58            72.440 pxhpinst.exe
04.01.2008  23:58          518.904 pxdrv.dll
04.01.2008  23:58          379.640 pxwave.dll
04.01.2008  23:58          120.056 pxcpyi64.exe
04.01.2008  23:58            88.824 vxblock.dll
04.01.2008  23:58            66.296 pxcpya64.exe
04.01.2008  23:58          129.784 pxafs.dll
04.01.2008  23:58          551.672 px.dll
              2283 Datei(en)    579.409.307 Bytes
              0 Verzeichnis(se), 182.434.938.880 Bytes frei
 
----- Prefetch -------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 38D9-E427

 Verzeichnis von C:\WINDOWS\Prefetch

04.06.2008  16:38            12.120 FIND.EXE-0EC32F1E.pf
04.06.2008  16:38            18.704 CMD.EXE-087B4001.pf
04.06.2008  16:37            41.902 AGENT.EXE-241FAAD9.pf
04.06.2008  16:33            20.830 VERCLSID.EXE-3667BD89.pf
04.06.2008  16:32            59.026 WMIPRVSE.EXE-28F301A9.pf
04.06.2008  16:32            21.366 WUAUCLT.EXE-399A8E72.pf
04.06.2008  16:32          103.910 FIREFOX.EXE-0776F6A0.pf
04.06.2008  16:15            18.740 WINHLP32.EXE-2C18E975.pf
04.06.2008  16:08        1.504.034 NTOSBOOT-B00DFAAD.pf
04.06.2008  16:05            21.910 SQLDUMPER.EXE-248A5ED6.pf
04.06.2008  16:04            18.472 IMAPI.EXE-0BF740A4.pf
04.06.2008  16:04            14.272 RUNDLL32.EXE-451FC2C0.pf
04.06.2008  16:03            66.132 NEROSTARTSMART.EXE-0A488AA3.pf
04.06.2008  16:03            16.844 GETPOPUPINFO.EXE-39784D74.pf
04.06.2008  16:01            36.940 MSCONFIG.EXE-35E4DAE9.pf
04.06.2008  09:24            52.470 PHOTOSNAPVIEWER.EXE-1BCDA4AE.pf
04.06.2008  09:19            9.486 REGEDT32.EXE-11878ACD.pf
04.06.2008  09:18            8.722 WRITE.EXE-0CF1EFEF.pf
04.06.2008  09:18            16.882 TELNET.EXE-24182D40.pf
04.06.2008  09:18            16.074 NOTEPAD.EXE-336351A9.pf
04.06.2008  09:06            30.348 SNDVOL32.EXE-383480B7.pf
04.06.2008  09:01            46.310 WINAMP.EXE-08C38ED9.pf
04.06.2008  08:55            92.874 DFRGNTFS.EXE-269967DF.pf
04.06.2008  08:55            16.366 DEFRAG.EXE-273F131E.pf
04.06.2008  08:55          365.392 Layout.ini
04.06.2008  08:42            60.742 EXPLORER.EXE-082F38A9.pf
04.06.2008  08:42            13.792 SVCHOST.EXE-3530F672.pf
04.06.2008  05:15            4.914 WSCNTFY.EXE-1B24F5EB.pf
04.06.2008  05:05            9.400 W73E7A18.EXE-0394B278.pf
04.06.2008  05:05            9.598 W2E5AC68.EXE-287E4352.pf
04.06.2008  04:25            9.388 W685BB2C.EXE-0ECEB215.pf
04.06.2008  04:25            9.610 WA6F19C0.EXE-325EA3D6.pf
04.06.2008  03:45            9.388 WB99F880.EXE-3682D74E.pf
04.06.2008  03:45            9.598 WB996082.EXE-30318ACC.pf
04.06.2008  03:04            9.388 W71C5423.EXE-002C9611.pf
04.06.2008  03:04            9.696 W40FF348.EXE-24193502.pf
04.06.2008  02:46            84.304 HELPSVC.EXE-2878DDA2.pf
04.06.2008  01:49            74.106 WINRAR.EXE-3588DFE8.pf
04.06.2008  01:32            22.204 RUNDLL32.EXE-2E5AF1D7.pf
03.06.2008  23:44            56.674 MSPAINT.EXE-11CBB631.pf
03.06.2008  23:29            83.596 REGISTRYCLEANER.EXE-17B6D63B.pf
03.06.2008  23:29            65.340 ACRORD32INFO.EXE-19D979CC.pf
03.06.2008  23:29          108.464 OPERA.EXE-24550E7A.pf
03.06.2008  23:29            37.552 USNSVC.EXE-1CEFA315.pf
03.06.2008  23:29            75.848 NMINDEXSTORESVR.EXE-1DBCF9FD.pf
03.06.2008  23:29            15.086 NMINDEXINGSERVICE.EXE-19799BA6.pf
03.06.2008  23:29            29.008 REGSVR32.EXE-25EEFE2F.pf
03.06.2008  15:10            54.540 MSNMSGR.EXE-3ACF7E89.pf
03.06.2008  15:10            35.882 SETPOINT.EXE-06E7AE51.pf
03.06.2008  15:10            14.526 KHALMNPR.EXE-020439BB.pf
03.06.2008  15:10            14.764 CTFMON.EXE-0E17969B.pf
03.06.2008  15:10            20.364 NMBGMONITOR.EXE-0BC10095.pf
03.06.2008  15:10            8.838 NEROCHECK.EXE-1BD71082.pf
03.06.2008  15:10            24.252 RUNDLL32.EXE-415F88EC.pf
03.06.2008  14:54            51.348 DWWIN.EXE-30875ADC.pf
              55 Datei(en)      3.662.336 Bytes
              0 Verzeichnis(se), 182.434.951.168 Bytes frei
 
----- Windows --------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 38D9-E427

 Verzeichnis von C:\WINDOWS

04.06.2008  16:32        1.928.658 WindowsUpdate.log
04.06.2008  16:07                50 wiaservc.log
04.06.2008  16:07              157 wiadebug.log
04.06.2008  16:07                0 0.log
04.06.2008  16:07            2.048 bootstat.dat
04.06.2008  16:05            32.550 SchedLgU.Txt
04.06.2008  16:05              296 system.ini
04.06.2008  16:05              507 win.ini
04.06.2008  09:29              604 EventSystem.log
03.06.2008  22:49                69 NeroDigital.ini
03.06.2008  14:43              719 DtcInstall.log
03.06.2008  14:43            43.376 ih8.config.xml.log
03.06.2008  14:39          284.870 RunSetup.log
03.06.2008  14:39        9.302.356 FSISU.log
03.06.2008  14:39        3.954.578 FSSFM.log
03.06.2008  14:39            4.505 FSLDIN.LOG
03.06.2008  14:39          203.609 FSPROD.log
03.06.2008  14:39        1.440.390 FSSETUP.log
03.06.2008  14:39            15.391 HELPINST.LOG
03.06.2008  14:39            10.500 FSHIPS.LOG
03.06.2008  14:39            4.187 FSGKIAIN.log
03.06.2008  14:39            3.963 UNINPLUG.log
03.06.2008  14:39            3.557 FSGemini.LOG
03.06.2008  14:39            6.167 FSPSINST.LOG
03.06.2008  14:39            1.020 FSSCINST.log
03.06.2008  14:39            5.868 FSSYSUPD.LOG
03.06.2008  14:39            3.452 fsavunin.log
03.06.2008  14:39            10.023 FSAVCSIN.LOG
03.06.2008  14:39            19.088 fsmainst.log
03.06.2008  14:39              305 FSSSINST.log
03.06.2008  14:39              629 fsav_db_setup.log
03.06.2008  14:39            17.896 FSGUIINS.LOG
03.06.2008  14:39            2.052 fsdginst.log
03.06.2008  14:39            8.770 FSASWINS.LOG
03.06.2008  14:39            24.277 fwesinst.log
03.06.2008  14:39            39.511 fstnbins.LOG
03.06.2008  14:39          109.669 fsauains.LOG
03.06.2008  14:39            90.861 FSAVINST.LOG
03.06.2008  14:39            6.403 pegasus_inst.log
03.06.2008  14:39            2.204 DAASINST.LOG
03.06.2008  14:38          348.112 FSDEPH.log
03.06.2008  14:38            20.211 preconfig.log
03.06.2008  14:38            10.504 ih8.fssg.xml.log
03.06.2008  14:38            2.366 FSPRODRM.LOG
03.06.2008  14:38          853.333 fssgpex.LOG
03.06.2008  14:38          915.530 fsinstaller.log
03.06.2008  14:38            2.463 fswil.log
03.06.2008  14:38              591 fsihcomptest.log
03.06.2008  14:38            7.503 Q-Klez.log
03.06.2008  14:26            15.548 ntbtlog.txt
01.06.2008  18:46              151 PhotoSnapViewer.INI
30.05.2008  01:05              625 videotoaudio.ini
28.05.2008  13:35            54.156 QTFont.qfn
21.05.2008  15:51            1.409 QTFont.for
09.05.2008  23:29          215.144 patchw32.dll
02.05.2008  16:54              400 ODBC.INI
06.04.2008  16:00              754 WORDPAD.INI
23.03.2008  16:45                58 MyProg.ini
11.03.2008  17:24                0 nsreg.dat
01.02.2008  17:19              311 game.ini
01.02.2008  16:41          315.392 HideWin.exe
01.02.2008  16:36            8.192 REGLOCS.OLD
01.02.2008  16:34                0 control.ini
01.02.2008  16:34            4.161 ODBCINST.INI
01.02.2008  16:33              749 WindowsShell.Manifest
01.02.2008  16:32                36 vb.ini
01.02.2008  16:32                37 vbaddin.ini
01.02.2008  16:27                0 Sti_Trace.log
              120 Datei(en)    63.198.169 Bytes
              0 Verzeichnis(se), 182.434.947.072 Bytes frei
 
----- Tasks ----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 38D9-E427

 Verzeichnis von C:\WINDOWS\tasks

04.06.2008  16:07                6 SA.DAT
04.02.2008  00:41              402 1-Klick-Wartung.job
04.08.2004  14:00                65 desktop.ini
              3 Datei(en)            473 Bytes
              0 Verzeichnis(se), 182.434.942.976 Bytes frei
 
----- Wintemp --------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 38D9-E427

 Verzeichnis von C:\WINDOWS\temp

04.06.2008  16:07              409 WGANotify.settings
04.06.2008  16:07              255 WGAErrLog.txt
03.06.2008  12:33              256 ZLT044c5.TMP
03.06.2008  12:33              256 ZLT05d4f.TMP
01.06.2008  18:43              256 ZLT05bec.TMP
01.06.2008  18:43              256 ZLT05be9.TMP
29.05.2008  19:22              256 ZLT00671.TMP
29.05.2008  19:22              256 ZLT00fbe.TMP
29.05.2008  19:10              256 ZLT00696.TMP
29.05.2008  19:10              256 ZLT00692.TMP
29.05.2008  15:30              256 ZLT00ff8.TMP
29.05.2008  15:30              256 ZLT05e10.TMP
28.05.2008  13:20              256 ZLT02cc3.TMP
28.05.2008  13:20              256 ZLT02cc0.TMP
28.05.2008  00:18              256 ZLT020eb.TMP
28.05.2008  00:18              256 ZLT055f0.TMP
27.05.2008  22:10              256 ZLT01f1b.TMP
27.05.2008  22:10              256 ZLT073a0.TMP
25.05.2008  13:48              256 ZLT04b4c.TMP
25.05.2008  13:48              256 ZLT0576d.TMP
              20 Datei(en)          5.272 Bytes
              0 Verzeichnis(se), 182.434.942.976 Bytes frei
 
----- Temp -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 38D9-E427

 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

04.06.2008  16:38          124.620 filelist.txt
04.06.2008  16:07            16.384 Perflib_Perfdata_508.dat
04.06.2008  16:07            16.384 ~DF5F57.tmp
04.06.2008  15:57            16.384 ~DF9EF3.tmp
04.06.2008  08:41            16.384 ~DF68A.tmp
04.06.2008  05:05                0 wa248b6f.exe
04.06.2008  05:05            65.024 w73e7a18.exe
04.06.2008  05:05            65.536 w2e5ac68.exe
04.06.2008  04:25                0 w3e9f517.exe
04.06.2008  04:25            65.024 w685bb2c.exe
04.06.2008  04:25            65.536 wa6f19c0.exe
04.06.2008  03:45                0 w5cd2ee5.exe
04.06.2008  03:45            65.024 wb99f880.exe
04.06.2008  03:45            65.536 wb996082.exe
04.06.2008  03:04                0 w30c4275.exe
04.06.2008  03:04            65.024 w71c5423.exe
04.06.2008  03:04            65.536 w40ff348.exe
04.06.2008  02:24                0 w29d6924.exe
04.06.2008  02:24            65.024 w7d7e03a.exe
04.06.2008  02:24            65.536 w9956b8d.exe
04.06.2008  01:44                0 w22e8ee6.exe
04.06.2008  01:43            65.024 w51705a7.exe
04.06.2008  01:43            65.536 w22e428d.exe
04.06.2008  01:03                0 w414a1b4.exe
04.06.2008  01:03            65.024 w12a62f6.exe
04.06.2008  01:03            65.536 w4a91240.exe
04.06.2008  00:23                0 w2a1b192.exe
04.06.2008  00:23            65.024 w150ba33.exe
04.06.2008  00:23            65.536 w3114587.exe
03.06.2008  23:42            65.536 w2f04e50.exe
03.06.2008  23:02            65.536 w10bd848.exe
03.06.2008  22:22                0 w878b2.exe
03.06.2008  22:22            65.024 wd67fe.exe
03.06.2008  22:21            16.384 ~DF601.tmp
03.06.2008  15:08            65.024 w3780fc.exe
03.06.2008  15:07              116 bugsplat.log
03.06.2008  14:43            4.681 setupguimngr.log
03.06.2008  14:40            23.412 setupgui.log
03.06.2008  14:38            17.565 prodsett.ini
03.06.2008  14:34            81.920 ~DFA8E7.tmp
              45 Datei(en)      2.398.276 Bytes
              0 Verzeichnis(se), 182.434.938.880 Bytes frei

Sch00lwa 04.06.2008 16:34
Folgendes,
ich hab fsbl bei mir auf dem pc runtergeladen nur wurde die datei nur bis 93% geladen. Habs dann nochmal mit OPERA versucht und da ging es garnicht also die seite wurde nichtmal geladen.

Woran kann das nur liegen ???

Jedenfalls hab ich fsbl in einem Internetcafe geladen und nach deiner Anleitung auf meinem pc installiert usw
Leider wurde nichts gefunden -_-

aber hier die logdatei:
Code:
06/04/08 17:20:09 [Info]: BlackLight Engine 1.0.70 initialized
06/04/08 17:20:09 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/04/08 17:20:09 [Note]: 7019 4
06/04/08 17:20:09 [Note]: 7005 0
06/04/08 17:20:10 [Note]: 7006 0
06/04/08 17:20:11 [Note]: 7011 208
06/04/08 17:20:11 [Note]: 7035 0
06/04/08 17:20:11 [Note]: 7026 0
06/04/08 17:20:11 [Note]: 7026 0
06/04/08 17:20:13 [Note]: FSRAW library version 1.7.1024
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4020 187529 786432
06/04/08 17:20:28 [Note]: 4018 187529 786432
06/04/08 17:20:28 [Note]: 4027 187529 786432
06/04/08 17:20:28 [Note]: 4020 187528 589824
06/04/08 17:20:28 [Note]: 4018 187528 589824
06/04/08 17:24:38 [Note]: 2000 1012
06/04/08 17:24:49 [Note]: 7007 0
Handelt es sich hierbei um einen Trojaner , Virus oder um ein Rootkit ???
Welche möglichkeiten hab ich noch ? (außer windows neuinstallieren und formatieren )

ich bin sehr froh das ich mit meinem Problem nicht alleingelassen werde ^^
danke

Gruß Matthias

KarlKarl 04.06.2008 16:56
Da ist einiges sehr seltsam, leider ist nicht klar, was genau. Blacklight scheint mal wieder zu versagen, es gibt aber noch andere Scanner:

Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
  • nichts am Rechner getan werden
  • nach jedem Scan der Rechner neu gestartet werden
Gmer scannen lassen
  • Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
  • Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
  • Füge das Log aus der Zwischenablage in deine Antwort hier ein.
Catchme scannen lassen
  • Lade dir Catchme runter auf deinen Desktop.
  • Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
  • Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
  • Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.
RootkitRevealer scannen lassen
  • Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
  • Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
  • Starte durch Klick auf "Scan".
  • Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

-----

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
  • Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
  • Geschützte Systemdateien ausblenden -> Haken weg
  • Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
  • Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Hier sind zwei Seiten, wo Du gefundene Dateien hochladen kannst, damit sie mit mehreren Scannern untersucht werden.Mach das mit folgender/n Datei/en auf einer dieser beiden Seiten, bevorzugt bei VirusTotal:
  • C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\w73e7a18.exe
  • C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\w2e5ac68.exe
  • C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\w685bb2c.exe
  • C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wa6f19c0.exe
  • C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wb99f880.exe
  • C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wb996082.exe
Die erhaltenen Ergebnisse mit kopieren und einfügen hier posten, dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren (soweit vorhanden). Solltest Du Dateien nicht finden oder hochladen können, dann teile uns das ebenfalls mit.

Sch00lwa 04.06.2008 18:27
Liste der Anhänge anzeigen (Anzahl: 2)
So ich hab alles gemacht hier erstmal die log-Dateien

Gmer log
Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-06-04 18:04:37
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            spgm.sys                    ZwEnumerateKey [0xBA6C8CA2]
SSDT            spgm.sys                    ZwEnumerateValueKey [0xBA6C9030]

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs      8A55B1F8

AttachedDevice  \FileSystem\Ntfs \Ntfs      avg7rsw.sys (AVG Resident Shield Unload Helper/GRISOFT, s.r.o.)

Device          \FileSystem\Fastfat \Fat    88095500

AttachedDevice  \FileSystem\Fastfat \Fat    avg7rsw.sys (AVG Resident Shield Unload Helper/GRISOFT, s.r.o.)

Device          \Driver\Tcpip \Device\Ip    avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)
Device          \Driver\Tcpip \Device\Tcp    avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)
Device          \Driver\Tcpip \Device\Udp    avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)
Device          \Driver\Tcpip \Device\RawIp  avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)

---- EOF - GMER 1.0.14 ----
catchme log

Code:
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-04 18:05:49
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:c4,e2,9c,49,5c,1b,12,28,29,75,72,a2,6c,9a,c5,8b,de,03,34,d1,d6,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:85,03,e6,57,97,b3,d0,4b,67,11,77,86,13,74,7c,01,4c,a1,da,ff,66,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,e9,45,8b,47,a6,c4,a1,fd,89,09,67,46,57,2d,ce,7b,df,..
"khjeh"=hex:bb,b7,97,87,e9,df,fc,79,0c,43,3b,27,6b,5c,f4,0b,d9,b3,59,c9,f0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:1a,ce,bf,5a,ee,61,07,f2,bc,d2,ae,97,4c,28,c2,54,ba,d7,e2,0d,77,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:cc,56,0b,15,12,4a,3a,99,53,9f,f3,ea,2c,f0,6b,21,76,27,25,9e,9f,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:c4,e2,9c,49,5c,1b,12,28,29,75,72,a2,6c,9a,c5,8b,de,03,34,d1,d6,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:85,03,e6,57,97,b3,d0,4b,67,11,77,86,13,74,7c,01,4c,a1,da,ff,66,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,e9,45,8b,47,a6,c4,a1,fd,89,09,67,46,57,2d,ce,7b,df,..
"khjeh"=hex:bb,b7,97,87,e9,df,fc,79,0c,43,3b,27,6b,5c,f4,0b,d9,b3,59,c9,f0,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:1a,ce,bf,5a,ee,61,07,f2,bc,d2,ae,97,4c,28,c2,54,ba,d7,e2,0d,77,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:cc,56,0b,15,12,4a,3a,99,53,9f,f3,ea,2c,f0,6b,21,76,27,25,9e,9f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:c4,e2,9c,49,5c,1b,12,28,29,75,72,a2,6c,9a,c5,8b,de,03,34,d1,d6,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:85,03,e6,57,97,b3,d0,4b,67,11,77,86,13,74,7c,01,4c,a1,da,ff,66,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,e9,45,8b,47,a6,c4,a1,fd,89,09,67,46,57,2d,ce,7b,df,..
"khjeh"=hex:bb,b7,97,87,e9,df,fc,79,0c,43,3b,27,6b,5c,f4,0b,d9,b3,59,c9,f0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:1a,ce,bf,5a,ee,61,07,f2,bc,d2,ae,97,4c,28,c2,54,ba,d7,e2,0d,77,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:cc,56,0b,15,12,4a,3a,99,53,9f,f3,ea,2c,f0,6b,21,76,27,25,9e,9f,..

scanning hidden registry entries ...

scanning hidden files ...

IPC error: 2 Das System kann die angegebene Datei nicht finden.

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 45

file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\01\10-{9B40C245-3FE5-AB0C-3C4A-82347BA42875}-v1-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS ( 8 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\11\11-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v11-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v11-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.1 ( 8 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\12\12-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v12-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v12-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 ( 30018 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\12\12-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v12-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v12-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2 ( 2118 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\12\12-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v12-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v12-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.2 ( 3376 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\13\13-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v13-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v13-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.1 ( 41988 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\13\13-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v13-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v13-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2.1 ( 3054 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\13\13-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v13-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v13-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.3 ( 4720 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\14\14-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v14-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v14-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.2 ( 54228 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\14\14-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v14-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v14-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2.2 ( 3882 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\14\14-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v14-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v14-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.4 ( 5992 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\15\15-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v15-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v15-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.3 ( 1794 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\15\15-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v15-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v15-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.5 ( 200 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\16\16-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v16-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v16-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.4 ( 32142 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\16\16-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v16-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v16-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2.3 ( 2316 bytes )

Sch00lwa 04.06.2008 18:29
2ter Teil
 
Code:
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\16\16-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v16-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v16-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.6 ( 3592 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\17\17-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v17-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v17-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.5 ( 69708 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\17\17-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v17-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v17-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2.4 ( 4944 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\17\17-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v17-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v17-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.7 ( 7768 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\18\18-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v18-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v18-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.6 ( 31872 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\18\18-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v18-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v18-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.8 ( 3544 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\19\19-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v19-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v19-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.7 ( 44922 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\19\19-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v19-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v19-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.9 ( 5152 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\20\20-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v20-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v20-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.8 ( 9858 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\20\20-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v20-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v20-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.10 ( 1104 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\21\21-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v21-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v21-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.9 ( 47262 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\21\21-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v21-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v21-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.11 ( 5216 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\22\22-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v22-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v22-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.10 ( 32214 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\22\22-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v22-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v22-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.12 ( 3608 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\23\23-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v23-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v23-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.11 ( 33006 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\23\23-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v23-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v23-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.13 ( 3680 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\24\24-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v24-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v24-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.12 ( 33708 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\24\24-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v24-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v24-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.14 ( 3720 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\25\25-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v25-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v25-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.13 ( 28236 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\25\25-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v25-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v25-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.15 ( 3080 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\26\26-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v26-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v26-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.14 ( 27516 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\26\26-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v26-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v26-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.16 ( 3040 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\27\27-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v27-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v27-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.15 ( 41754 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\27\27-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v27-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v27-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.17 ( 4688 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\28\28-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v28-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v28-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.16 ( 33042 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\28\28-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v28-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v28-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.18 ( 3672 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\30\30-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v30-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v30-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.17 ( 45552 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\30\30-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v30-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v30-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.19 ( 5048 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\31\31-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v31-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v31-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1.18 ( 46470 bytes )
file zipped: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\pole-mc@hotmail.de\SharingMetadata\tupac-wohnpark-89@hotmail.de\DFSR\Staging\CS{9B40C245-3FE5-AB0C-3C4A-82347BA42875}\31\31-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v31-{F9C682C8-055A-41C4-A0A3-AB6B1A6D7488}-v31-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS.20 ( 5200 bytes )

Rootkit Revealer log

Rootkit Revealer stürtzt beim speichern der log-Datei ab,
deshalb hab ich vorsichtshalber SCREENSHOTS vom Log gemacht

----------------------------------------------------------------------

BEMERKUNGEN:

-Im Ordner Temp (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp)
waren gestern nur 5 von diesen wxxxx.exe Dateien , aber heute sind es schon 37 was genau sind das für Dateien ?

-Rootkit Revealer stürtzt beim speichern der log-Datei ab

-Der Ordner Temp (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp)
ist auch abgestürtzt als ich rechtsklick auf eine der aufgelisteten wxxx.exe Dateien gemacht hab

-Wie alle den anderen online-scan Seiten wurden auch Jotti und virustotal.com nicht geladen , deshalb muss ich nochmal ins I-net Cafe

WICHTIG:
Es öffneten sich aufeinmal viele Programme und Ordner

Ordner : Directory C:\Dokumente und Einstellungen\Administrator\Desktop\Directory

WatchNow C:\Dokumente und Einstellungen\Administrator\Desktop\WatchNow

Programme: Windows Live Messenger
Winamp
Papierkorb

Datei: Datei öffnen Sicherheitswarnung (Zone Alarm)
Name: zaSetup de099.exe
Herausgeber: Check Point Software Technologie

-------------------------------------------------------------------------

Die Ergebnisse der Online-Scans reiche ich so schnell es geht nach ^^

Ich denke wir kommen der Sache schon viel näher denn diese w73e7a18.exe Dateien machen sich sehr verdächtig oder ???

KarlKarl 04.06.2008 18:50
Von ein paar dieser w*.exe-dateien im Temp-Ordner würde ich gerne Scans sehen, müssen nicht alle sein. Da gibt es Dateien mit drei Größen: 0, 65024 und 65536 Byte. In einer 0-Byte-Datei gibt es nichts zu scannen, von den beiden anderen Größen sollte aber jeweils mindestens eine dabei sein.

die Screenshots sind leider arg verkleinert ausgefallen, da machen meine alten Augen nicht mehr mit. Eventuell noch mal bei ImageShack® - Image Hosting hochladen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131