|
Log-Analyse und Auswertung: OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.04.2008, 11:58 | #1 |
| OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Hallo zusammen! Habe leider bei der Suche im Internet nichts aussagekräftiges zu diesen 2 Systemstartelementen gefunden, die sich einfach im Autostart festgesetzt haben. Ich kann diese insgesammt 4 Systemstartelemente abwählen und den Computer neu booten, danach sind die Häckchen wieder drin.... Weiterhin habe ich festgestellt, das im Thunderbird 4 Unterordner in bereits bestehende Ordner angelegt wurden, die die oben beschriebenen Namen enthalten. Diese kann ich löschen wie ich will, sie werden immer wieder neu erstellt.... Die Suche mit AntiVir hat nichts ergeben, deswegen habe ich den HiJackThis drüberlaufen lassen und poste mal das Log File! Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:44:29, on 25.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20733) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\ZoneLabs\vsmon.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINXP\system32\oodag.exe C:\WINXP\system32\PnkBstrA.exe C:\WINXP\system32\PnkBstrB.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINXP\system32\vmnat.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE C:\WINXP\system32\vmnetdhcp.exe C:\WINXP\Explorer.EXE C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe C:\WINXP\system32\taskswitch.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\oodtray.exe C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\PROGRA~1\FREEDO~1\fdm.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = daemon-search.com/default R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINXP\system32\taskswitch.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [OODefragTray] C:\WINXP\system32\oodtray.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - S-1-5-18 Startup: OP_CACHE.ATR (User 'SYSTEM') O4 - S-1-5-18 Startup: OP_CACHE.IDX (User 'SYSTEM') O4 - .DEFAULT Startup: OP_CACHE.ATR (User 'Default user') O4 - .DEFAULT Startup: OP_CACHE.IDX (User 'Default user') O4 - Startup: OP_CACHE.ATR O4 - Startup: OP_CACHE.IDX O4 - Global Startup: OP_CACHE.ATR O4 - Global Startup: OP_CACHE.IDX O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINXP\system32\PnkBstrB.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINXP\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINXP\system32\vmnat.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe -- End of file - 10186 bytes |
25.04.2008, 12:09 | #2 |
> MalwareDB | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Hattest Du eine Software von Outpost/Agnitum auf dem Rechner?
__________________ |
25.04.2008, 12:16 | #3 |
| OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Ja, ich hatte die Outpost Firewall drauf, habe diese aber deinstalliert.
__________________ |
25.04.2008, 12:20 | #4 |
> MalwareDB | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Das ist ein Rest davon, war ne Beta, daher kein Wunder, dass was bleibt. Die Dateien sind keine Bedrohung im klassichen Sinn, laufen halt nur im geschützen Modus. Lassen wir mal Blacklight suchen. F-Secure Blacklight - Rootkitscanner: * Scanne dein System mit F-Secure Blacklight * Benennen die Datei um (Beispiel: test.com) * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) |
25.04.2008, 12:38 | #5 |
| OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Ich habe gescannt und laut dem Programm wurde nichts gefunden. Eine Datei wurd nirgends abgelegt.... |
25.04.2008, 12:41 | #6 |
> MalwareDB | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Sophos Anti-RootKit - Gehe zu Sophos - (Anleitung) und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe. - Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht. - Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme. - Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse. - Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten. (Thx to Argos) |
25.04.2008, 12:56 | #7 |
| OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....Code:
ATTFilter Sophos Anti-Rootkit Version 1.3.1 (data 1.08) (c) 2006 Sophos Plc Started logging on 25.04.2008 at 13:51:36 Stopped logging on 25.04.2008 at 13:55:51 |
25.04.2008, 12:58 | #8 |
> MalwareDB | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Dann mal anders Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Credits to Karl83 / KarlKarl |
25.04.2008, 13:10 | #9 |
| OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....Code:
ATTFilter ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 503B-C9F7 Verzeichnis von C:\ 25.04.2008 12:09 1.610.612.736 pagefile.sys 22.04.2008 18:50 207 boot.ini 31.03.2008 21:25 1.024 .rnd 28.03.2008 16:09 48 OP_CACHE.IDX 28.03.2008 16:09 96 OP_CACHE.ATR 21.03.2008 16:55 251.712 ntldr 21.03.2008 16:09 0 AUTOEXEC.BAT 21.03.2008 16:09 0 IO.SYS 21.03.2008 16:09 0 CONFIG.SYS 21.03.2008 16:09 0 MSDOS.SYS 03.08.2004 19:38 47.564 NTDETECT.COM 23.08.2001 11:00 4.952 bootfont.bin 12 Datei(en) 1.610.918.339 Bytes 0 Verzeichnis(se), 26.421.985.280 Bytes frei ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 503B-C9F7 Verzeichnis von C:\WINXP\system32 25.04.2008 13:56 360.554 vsconfig.xml 25.04.2008 12:10 4.212 zllictbl.dat 25.04.2008 12:09 84.275 oodbs.lor 24.04.2008 21:39 107.832 PnkBstrB.exe 22.04.2008 07:00 110.192 FNTCACHE.DAT 21.04.2008 22:16 409.822 perfh009.dat 21.04.2008 22:16 65.548 perfc009.dat 21.04.2008 22:16 426.308 perfh007.dat 21.04.2008 22:16 79.030 perfc007.dat 21.04.2008 22:16 947.100 PerfStringBackup.INI 21.04.2008 22:16 25.920 OP_CACHE.IDX 21.04.2008 22:16 51.840 OP_CACHE.ATR 21.04.2008 16:55 2.206 wpa.dbl 14.04.2008 18:06 94.465 avsda.dll 05.04.2008 22:56 19.836.024 MRT.exe 29.03.2008 18:30 6.641 jupdate-1.6.0_05-b13.log 25.03.2008 21:47 66.872 PnkBstrA.exe ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 503B-C9F7 Verzeichnis von C:\WINXP\Prefetch 28.03.2008 16:19 1.548 OP_CACHE.IDX 28.03.2008 16:19 3.096 OP_CACHE.ATR ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 503B-C9F7 Verzeichnis von C:\WINXP 25.04.2008 12:51 50 wiaservc.log 25.04.2008 12:51 159 wiadebug.log 25.04.2008 12:10 0 0.log 25.04.2008 12:10 341.725 WindowsUpdate.log 25.04.2008 12:09 2.048 bootstat.dat 24.04.2008 20:13 629.262 setupapi.log 22.04.2008 18:50 227 system.ini 22.04.2008 18:50 507 win.ini 21.04.2008 22:17 85.763 ntdtcsetup.log 21.04.2008 22:17 480.815 iis6.log 21.04.2008 22:17 22.431 ocmsn.log 21.04.2008 22:17 193.672 tsoc.log 21.04.2008 22:17 143.982 comsetup.log 21.04.2008 22:17 1.374 imsins.log 21.04.2008 22:17 21.991 tabletoc.log 21.04.2008 22:17 15.306 KB948881.log 21.04.2008 22:17 73.185 netfxocm.log 21.04.2008 22:17 29.112 MedCtrOC.log 21.04.2008 22:17 242.464 ocgen.log 21.04.2008 22:17 20.908 msgsocm.log 21.04.2008 22:17 413.180 FaxSetup.log 21.04.2008 22:17 132.692 msmqinst.log 21.04.2008 22:14 1.374 imsins.BAK 21.04.2008 22:14 15.306 KB941693.log 21.04.2008 22:14 15.834 KB946026.log 21.04.2008 22:13 520.084 msxml6-KB933579-deu-x86.LOG 21.04.2008 22:11 14.653 KB948590.log 21.04.2008 22:11 9.250 updspapi.log 21.04.2008 22:10 14.633 KB945553.log 21.04.2008 22:04 6.727 wmsetup.log 21.04.2008 19:44 3.840 OP_CACHE.ATR 21.04.2008 19:44 1.920 OP_CACHE.IDX 20.04.2008 12:25 370.171 DirectX.log 17.04.2008 21:05 6.772 KB918997.log 11.04.2008 17:06 21.204 avmfwlanci.log 30.03.2008 17:37 25 CDED92Euro.ini 30.03.2008 16:20 394 ODBC.INI 25.03.2008 19:47 290 game.ini ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 503B-C9F7 Verzeichnis von C:\WINXP\tasks 28.03.2008 16:21 48 OP_CACHE.ATR 28.03.2008 16:21 24 OP_CACHE.IDX 21.03.2008 17:40 6 SA.DAT 23.08.2001 11:00 65 desktop.ini 4 Datei(en) 143 Bytes 0 Verzeichnis(se), 26.421.858.304 Bytes frei ----- Wintemp -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 503B-C9F7 Verzeichnis von C:\WINXP\temp 25.04.2008 13:56 256 ZLT035c0.TMP 25.04.2008 13:56 256 ZLT035bc.TMP 25.04.2008 12:09 85 vmware-vmount.log 25.04.2008 12:09 16.384 Perflib_Perfdata_5f0.dat 24.04.2008 20:21 85 vmware-vmount-1.log 24.04.2008 20:21 16.384 Perflib_Perfdata_98c.dat 24.04.2008 20:20 256 ZLT064fc.TMP 24.04.2008 20:20 256 ZLT00d9f.TMP 24.04.2008 18:15 85 vmware-vmount-2.log 24.04.2008 18:13 256 ZLT02bcb.TMP 24.04.2008 18:13 256 ZLT02bc8.TMP 23.04.2008 20:47 85 vmware-vmount-3.log 23.04.2008 20:47 16.384 Perflib_Perfdata_9bc.dat 23.04.2008 20:44 256 ZLT0517c.TMP 23.04.2008 20:44 256 ZLT05179.TMP 22.04.2008 23:26 0 etilqs_VWaXIQqitSHwBeG 22.04.2008 23:26 0 etilqs_42ubrQWudp5KUhX-journal 22.04.2008 23:26 0 etilqs_fw2jNVtFNFQPzfQ 22.04.2008 21:13 85 vmware-vmount-4.log 22.04.2008 21:13 16.384 Perflib_Perfdata_938.dat 22.04.2008 19:00 85 vmware-vmount-5.log 22.04.2008 18:57 256 ZLT074a3.TMP 22.04.2008 18:57 256 ZLT031c7.TMP 22.04.2008 18:29 85 vmware-vmount-6.log 22.04.2008 18:29 16.384 Perflib_Perfdata_918.dat 22.04.2008 18:26 256 ZLT01a07.TMP 22.04.2008 18:26 256 ZLT01a03.TMP 22.04.2008 18:23 256 ZLT017ae.TMP 22.04.2008 18:23 256 ZLT017aa.TMP 22.04.2008 07:03 85 vmware-vmount-7.log 22.04.2008 07:03 16.384 Perflib_Perfdata_ed8.dat 22.04.2008 07:00 256 ZLT07e6f.TMP 22.04.2008 07:00 256 ZLT00d19.TMP 21.04.2008 22:14 9.854 NetFxUpdate_v1.1.4322.log 21.04.2008 19:00 0 sdbA.tmp 21.04.2008 19:00 85 vmware-vmount-8.log 21.04.2008 19:00 16.384 Perflib_Perfdata_a1c.dat 21.04.2008 16:56 85 vmware-vmount-9.log 21.04.2008 16:56 16.384 Perflib_Perfdata_5a8.dat 20.04.2008 12:13 85 vmware-vmount-10.log 20.04.2008 12:13 16.384 Perflib_Perfdata_7dc.dat 19.04.2008 21:47 0 etilqs_2Yqon2oEyVvRalB-journal 19.04.2008 21:47 0 etilqs_Qebx7En7KVDKsVg 19.04.2008 21:47 0 etilqs_DNimrUNpI6AtYge 18.04.2008 15:21 16.384 Perflib_Perfdata_bac.dat 18.04.2008 15:02 0 etilqs_hrUUz8RQg3YVse8-journal 18.04.2008 15:02 1.028 etilqs_aKoJKGn0bpZIFmQ 18.04.2008 15:02 34.816 etilqs_t75poIgxKE1n0ho 18.04.2008 13:00 0 sdb17.tmp 18.04.2008 12:17 16.384 Perflib_Perfdata_360.dat 17.04.2008 21:31 16.384 Perflib_Perfdata_534.dat 17.04.2008 21:10 16.384 Perflib_Perfdata_b50.dat 17.04.2008 20:51 16.384 Perflib_Perfdata_1cc.dat 17.04.2008 18:03 842 vminst.log 17.04.2008 18:02 16.384 Perflib_Perfdata_350.dat 17.04.2008 17:53 1.028 etilqs_3iFTogs6T38Mzb5 17.04.2008 17:53 0 etilqs_Bm0F7zaBBDt2YZT 17.04.2008 17:53 512 etilqs_2A114raT7Wbmfue-journal 17.04.2008 17:00 0 sdb11.tmp 17.04.2008 16:00 16.384 Perflib_Perfdata_e60.dat 16.04.2008 21:00 0 sdb10.tmp 16.04.2008 20:38 16.384 Perflib_Perfdata_72c.dat 16.04.2008 00:10 0 etilqs_51IZ4AynOsD6rr9-journal 16.04.2008 00:10 1.028 etilqs_6P73ficFaePOzE0 16.04.2008 00:10 31.744 etilqs_iFjLofqIQuOMFIb 15.04.2008 18:00 0 sdb16.tmp 15.04.2008 16:43 16.384 Perflib_Perfdata_6cc.dat 14.04.2008 23:45 30.720 etilqs_TrkMzst60e1tfOc 14.04.2008 23:45 1.028 etilqs_xOJplj09Nm2hrrf 14.04.2008 23:45 0 etilqs_UtOBkMZAGrLKVa4-journal 14.04.2008 21:06 16.384 Perflib_Perfdata_a9c.dat 14.04.2008 18:00 0 sdbE.tmp 14.04.2008 17:53 16.384 Perflib_Perfdata_940.dat 13.04.2008 13:08 16.384 Perflib_Perfdata_c14.dat 12.04.2008 10:50 16.384 Perflib_Perfdata_18c.dat 11.04.2008 21:39 16.384 Perflib_Perfdata_c20.dat 11.04.2008 19:17 16.384 Perflib_Perfdata_3c0.dat 11.04.2008 18:02 16.384 Perflib_Perfdata_ad4.dat 11.04.2008 16:00 0 sdb12.tmp 10.04.2008 17:47 16.384 Perflib_Perfdata_c18.dat 09.04.2008 19:00 0 sdbD.tmp 09.04.2008 18:02 16.384 Perflib_Perfdata_744.dat 08.04.2008 19:00 0 sdb1B.tmp 08.04.2008 18:16 16.384 Perflib_Perfdata_1ac.dat 07.04.2008 23:05 16.384 Perflib_Perfdata_824.dat 06.04.2008 21:25 16.384 Perflib_Perfdata_308.dat 05.04.2008 08:13 16.384 Perflib_Perfdata_958.dat 04.04.2008 17:00 0 sdbF.tmp 04.04.2008 16:01 16.384 Perflib_Perfdata_1bc.dat 03.04.2008 23:02 16.384 Perflib_Perfdata_66c.dat 03.04.2008 21:00 0 sdbC.tmp 03.04.2008 18:10 16.384 Perflib_Perfdata_3b8.dat 03.04.2008 07:36 16.384 Perflib_Perfdata_7f0.dat 02.04.2008 21:01 16.384 Perflib_Perfdata_450.dat 02.04.2008 19:06 16.384 Perflib_Perfdata_a68.dat 01.04.2008 20:54 16.384 Perflib_Perfdata_724.dat 01.04.2008 17:00 0 sdbB.tmp 01.04.2008 16:49 16.384 Perflib_Perfdata_398.dat 31.03.2008 21:52 16.384 Perflib_Perfdata_58c.dat 31.03.2008 21:27 16.384 Perflib_Perfdata_2d4.dat 31.03.2008 21:26 16.384 Perflib_Perfdata_cf0.dat 31.03.2008 17:00 0 sdb7.tmp 30.03.2008 17:45 24 OP_CACHE.IDX 30.03.2008 17:45 48 OP_CACHE.ATR 28.03.2008 12:00 0 sdb8.tmp 27.03.2008 12:00 0 sdb6.tmp 26.03.2008 13:00 0 sdb5.tmp 24.03.2008 23:00 0 sdb4.tmp 21.03.2008 19:01 0 sdb14.tmp 21.03.2008 17:27 120 E_S84.tmp 17.09.2003 18:20 221.184 RegModule.exe 05.09.2003 11:54 1.974 RegModule.ini 112 Datei(en) 1.029.109 Bytes 0 Verzeichnis(se), 26.421.854.208 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 503B-C9F7 Verzeichnis von C:\DOKUME~1\Flo\LOKALE~1\Temp 25.04.2008 14:09 134.464 filelist.txt 25.04.2008 13:56 16.384 ~DF873F.tmp 25.04.2008 13:55 158 sarscan.log 25.04.2008 12:44 114.688 ~DFD973.tmp 25.04.2008 12:15 7.560 jusched.log 25.04.2008 12:11 16.384 Perflib_Perfdata_b68.dat 24.04.2008 20:22 16.384 ~DFF911.tmp 24.04.2008 18:26 16.384 ~DFBD5E.tmp 23.04.2008 20:47 16.384 ~DFDF4D.tmp 22.04.2008 23:23 71.680 GLB23.tmp 22.04.2008 19:58 1.024 5ujx13wg.exe 22.04.2008 18:58 16.384 ~DF5856.tmp 22.04.2008 18:28 16.384 ~DFEF98.tmp 22.04.2008 07:04 98.304 ~DFA090.tmp 21.04.2008 22:17 83.202 dd_dotnetfx20install.txt 21.04.2008 22:17 18.538 uxeventlog.txt 21.04.2008 22:17 12.055.722 dd_NET_Framework20_Setup7A93.txt 21.04.2008 22:16 5.156 ASPNETSetup_00002.log 21.04.2008 22:14 21.440 dd_depcheck_NETFX20_EXP_35.txt 21.04.2008 22:14 2 dd_dotnetfx20error.txt 21.04.2008 22:13 36.125 netfxsl.log 21.04.2008 22:13 1.547 NetFxUpdate_v1.1.4322.log 21.04.2008 22:12 5.010 ASPNETSetup_00001.log 21.04.2008 22:09 1.552 wmplog00.sqm 21.04.2008 20:14 98.304 ~DFF56B.tmp 21.04.2008 20:07 136 profiler.log 21.04.2008 19:44 186 op_install.log 21.04.2008 19:44 88.117 vminst.log 21.04.2008 19:43 89 op_install.0 21.04.2008 19:39 414 _iu14D2N.log 21.04.2008 19:38 504 OP_CACHE.IDX 21.04.2008 19:38 1.008 OP_CACHE.ATR 20.04.2008 13:33 3.584 4ae1be.mst 20.04.2008 13:33 2.444 dotNetFx.log 18.04.2008 23:29 618 InstallRemover28907.log 18.04.2008 12:53 14.797 Operation Blitzsturm [found-on-www-bitreactor-to]-1.torrent 17.04.2008 21:30 22.264 739c_appcompat.txt 17.04.2008 21:27 81.920 ~DF44EC.tmp 17.04.2008 21:11 81.920 ~DFA857.tmp 17.04.2008 16:14 10.341.032 Azureus3.0.5.2.jar 17.04.2008 16:07 9.658 AZU12960.tmp 14.04.2008 20:25 0 JET1F75.tmp 14.04.2008 17:52 16.384 Perflib_Perfdata_434.dat 13.04.2008 14:18 21.406.208 ~WRS0002.tmp 05.04.2008 16:38 309.979 azplugins_2.1.4.jar 05.04.2008 16:38 778 AZU27839.tmp 05.04.2008 16:38 121.594 azupnpav_0.2.1.zip 05.04.2008 16:38 3.424 AZU27836.tmp 05.04.2008 16:38 532.307 azplatform2_1.16.zip 05.04.2008 16:37 3.699 AZU27834.tmp 05.04.2008 16:36 24.846 azupdater_1.8.8.zip 05.04.2008 16:36 3.361 AZU27832.tmp 05.04.2008 16:00 323.584 swt-win32-3430.dll 05.04.2008 14:40 0 885a_appcompat.txt 05.04.2008 09:08 10.285.597 Azureus3.0.5.0.jar 05.04.2008 09:04 9.599 AZU28864.tmp 05.04.2008 09:04 4.576 AZU28861.tmp 05.04.2008 08:13 16.384 Perflib_Perfdata_364.dat 04.04.2008 16:51 0 AZ_2559.r00 04.04.2008 16:50 9.599 AZU2556.tmp 04.04.2008 16:50 1.946.140 swt-3430-win32-win32-x86.zip 04.04.2008 16:48 4.576 AZU2554.tmp 04.04.2008 16:15 14.797 Operation Blitzsturm [found-on-www-bitreactor-to].torrent 04.04.2008 16:02 16.384 Perflib_Perfdata_ea8.dat 31.03.2008 21:53 2.661.492 vmmsi.log 31.03.2008 21:42 28.160 mso49.tmp 31.03.2008 21:38 8.192 vnetlib.config 31.03.2008 21:28 52.237 vminst.log_20080331_212809_Failed.log 31.03.2008 21:28 1.865.664 vmmsi.log_20080331_212809_Failed.log 31.03.2008 17:52 500.976 VPCInstallLog.txt 31.03.2008 17:50 910.080 msxml6-KB927977-enu-x86.exe 31.03.2008 17:50 167.424 1031.mst 31.03.2008 17:50 28.084.736 Virtual_PC_2007_Install.msi 29.03.2008 18:31 708 java_install_reg.log 29.03.2008 18:30 0 java_install.log 29.03.2008 18:28 8.170 jinstall.cfg 29.03.2008 18:28 382.352 tmp.xpi 27.03.2008 23:56 2.577 Nero78d8f97499fd424d8c969c0ae30cf190.nrd 27.03.2008 11:12 20.954 Mai3C.tmp 25.03.2008 17:19 49.152 e8cf.rra 25.03.2008 17:11 2.597 Nero699697c24fee426f8184c1a933f6e97b.nrd 25.03.2008 16:47 16.384 Perflib_Perfdata_9d0.dat 25.03.2008 15:54 0 NER4A.tmp 25.03.2008 15:54 4.096 BCG49.tmp 25.03.2008 15:54 4.096 BCG46.tmp |
25.04.2008, 13:37 | #10 |
> MalwareDB | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete: C:\OP_CACHE.IDX C:\OP_CACHE.ATR C:\WINXP\system32\OP_CACHE.IDX C:\WINXP\system32\OP_CACHE.ATR C:\WINXP\Prefetch\OP_CACHE.IDX C:\WINXP\Prefetch\OP_CACHE.ATR C:\WINXP\OP_CACHE.ATR C:\WINXP\OP_CACHE.IDX C:\WINXP\tasks\OP_CACHE.ATR C:\WINXP\tasks\OP_CACHE.IDX C:\WINXP\temp\OP_CACHE.IDX C:\WINXP\temp\OP_CACHE.ATR C:\DOKUME~1\Flo\LOKALE~1\Temp\OP_CACHE.IDX C:\DOKUME~1\Flo\LOKALE~1\Temp\OP_CACHE.ATR 3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag. Geändert von BataAlexander (25.04.2008 um 13:45 Uhr) |
25.04.2008, 14:04 | #11 |
| OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\OP_CACHE.IDX" deleted successfully. File "C:\OP_CACHE.ATR" deleted successfully. File "C:\WINXP\system32\OP_CACHE.IDX" deleted successfully. File "C:\WINXP\system32\OP_CACHE.ATR" deleted successfully. File "C:\WINXP\Prefetch\OP_CACHE.IDX" deleted successfully. File "C:\WINXP\Prefetch\OP_CACHE.ATR" deleted successfully. Error: could not delete file "C:\WINXP\OP_CACHE.ATR" Deletion of file "C:\WINXP\OP_CACHE.ATR" failed! Status: 0xc0000035 (STATUS_OBJECT_NAME_COLLISION) --> another object exists already with the same name Error: could not delete file "C:\WINXP\OP_CACHE.IDX" Deletion of file "C:\WINXP\OP_CACHE.IDX" failed! Status: 0xc0000035 (STATUS_OBJECT_NAME_COLLISION) --> another object exists already with the same name File "C:\WINXP\tasks\OP_CACHE.ATR" deleted successfully. File "C:\WINXP\tasks\OP_CACHE.IDX" deleted successfully. File "C:\WINXP\temp\OP_CACHE.IDX" deleted successfully. File "C:\WINXP\temp\OP_CACHE.ATR" deleted successfully. File "C:\DOKUME~1\Flo\LOKALE~1\Temp\OP_CACHE.IDX" deleted successfully. File "C:\DOKUME~1\Flo\LOKALE~1\Temp\OP_CACHE.ATR" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
25.04.2008, 14:20 | #12 |
> MalwareDB | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Lade bitte die angehängte Datei herunter und benenne sie in listfiles.bat um. Dann doppelklicken. Danach hast Du eine Datei listfiles.txt unter c: deren Inhalt hier bitte posten. |
25.04.2008, 15:27 | #13 |
| OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....Code:
ATTFilter Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 503B-C9F7 |
25.04.2008, 15:35 | #14 |
> MalwareDB | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Dann mal bitte ein neues HJT Log. |
25.04.2008, 15:36 | #15 |
| OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:39:21, on 25.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20733) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\ZoneLabs\vsmon.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINXP\system32\oodag.exe C:\WINXP\system32\PnkBstrA.exe C:\WINXP\system32\PnkBstrB.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINXP\system32\vmnat.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE C:\WINXP\system32\vmnetdhcp.exe C:\WINXP\Explorer.EXE C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe C:\WINXP\system32\taskswitch.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\WINXP\system32\oodtray.exe C:\WINXP\System32\svchost.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\WINXP\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.www.daemon-search.com/default R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINXP\system32\taskswitch.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [OODefragTray] C:\WINXP\system32\oodtray.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINXP\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - S-1-5-18 Startup: OP_CACHE.ATR (User 'SYSTEM') O4 - S-1-5-18 Startup: OP_CACHE.IDX (User 'SYSTEM') O4 - .DEFAULT Startup: OP_CACHE.ATR (User 'Default user') O4 - .DEFAULT Startup: OP_CACHE.IDX (User 'Default user') O4 - Startup: OP_CACHE.ATR O4 - Startup: OP_CACHE.IDX O4 - Global Startup: OP_CACHE.ATR O4 - Global Startup: OP_CACHE.IDX O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINXP\system32\PnkBstrB.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINXP\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINXP\system32\vmnat.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe -- End of file - 10271 bytes |
Themen zu OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... |
adobe, antivir, antivir premium, avira, avira antivir premium, bho, booten, computer, excel, explorer, file, firefox, free download, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, launch, log, log file, löschen, mozilla, mozilla firefox, mozilla thunderbird, programme, regsvr32, software, stick, suche, systemstartelemente, teamspeak, windows, windows xp |