@Michael

Ich bin mir noch im Unklaren, was es mit den %temp% Dateien genau auf sich hat.

@Marcu & all

Habe mir die Sache jetzt noch mal angeschaut und vermute, dass Du recht hast. Ich konnte in meinen Memdumps keine Anzeichen für ein public-key Verfahren finden, wohl aber Hinweise auf die Kombination des Statischen keys (....ssh) mit einem bzw. vielen dynamischen. Ich habe dazu in meinem Blogeintrag noch einige Bilder hochgeladen. Spannend ist vor allem, dass im Memdump scheinbar Speicherbereiche zu finden sind, die eventuell eine Zuordnung von altem Dateinamen, neuem Dateinamen und dynamischen Schlüssel erkennen lassen.
Wo dise dynamischen Schlüssel genau generiert werden, konnte ich noch nicht verifizieren.