| |
| |||||||
Log-Analyse und Auswertung: OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
25.04.2008, 11:58
| #1 |
 |  OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Hallo zusammen! Habe leider bei der Suche im Internet nichts aussagekräftiges zu diesen 2 Systemstartelementen gefunden, die sich einfach im Autostart festgesetzt haben. Ich kann diese insgesammt 4 Systemstartelemente abwählen und den Computer neu booten, danach sind die Häckchen wieder drin.... Weiterhin habe ich festgestellt, das im Thunderbird 4 Unterordner in bereits bestehende Ordner angelegt wurden, die die oben beschriebenen Namen enthalten. Diese kann ich löschen wie ich will, sie werden immer wieder neu erstellt.... Die Suche mit AntiVir hat nichts ergeben, deswegen habe ich den HiJackThis drüberlaufen lassen und poste mal das Log File! Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:44:29, on 25.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20733) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\ZoneLabs\vsmon.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINXP\system32\oodag.exe C:\WINXP\system32\PnkBstrA.exe C:\WINXP\system32\PnkBstrB.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINXP\system32\vmnat.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE C:\WINXP\system32\vmnetdhcp.exe C:\WINXP\Explorer.EXE C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe C:\WINXP\system32\taskswitch.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\oodtray.exe C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\PROGRA~1\FREEDO~1\fdm.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = daemon-search.com/default R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINXP\system32\taskswitch.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [OODefragTray] C:\WINXP\system32\oodtray.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - S-1-5-18 Startup: OP_CACHE.ATR (User 'SYSTEM') O4 - S-1-5-18 Startup: OP_CACHE.IDX (User 'SYSTEM') O4 - .DEFAULT Startup: OP_CACHE.ATR (User 'Default user') O4 - .DEFAULT Startup: OP_CACHE.IDX (User 'Default user') O4 - Startup: OP_CACHE.ATR O4 - Startup: OP_CACHE.IDX O4 - Global Startup: OP_CACHE.ATR O4 - Global Startup: OP_CACHE.IDX O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINXP\system32\PnkBstrB.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINXP\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINXP\system32\vmnat.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe -- End of file - 10186 bytes |
|
25.04.2008, 12:09
| #2 |
| > MalwareDB   | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Hattest Du eine Software von Outpost/Agnitum auf dem Rechner?
__________________ |
|
25.04.2008, 12:16
| #3 | |
| | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....Zitat:
|
|
25.04.2008, 12:20
| #4 |
| > MalwareDB | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Das ist ein Rest davon, war ne Beta, daher kein Wunder, dass was bleibt. Die Dateien sind keine Bedrohung im klassichen Sinn, laufen halt nur im geschützen Modus.  Lassen wir mal Blacklight suchen. F-Secure Blacklight - Rootkitscanner: * Scanne dein System mit F-Secure Blacklight * Benennen die Datei um (Beispiel: test.com) * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) |
|
25.04.2008, 12:38
| #5 |
| | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Ich habe gescannt und laut dem Programm wurde nichts gefunden. Eine Datei wurd nirgends abgelegt.... |
|
25.04.2008, 12:41
| #6 |
| > MalwareDB | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Sophos Anti-RootKit - Gehe zu Sophos - (Anleitung) und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe. - Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht. - Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme. - Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse. - Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten. (Thx to Argos) |
|
25.04.2008, 12:56
| #7 |
| | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....Code:
ATTFilter Sophos Anti-Rootkit Version 1.3.1 (data 1.08) (c) 2006 Sophos Plc
Started logging on 25.04.2008 at 13:51:36
Stopped logging on 25.04.2008 at 13:55:51
|
|
25.04.2008, 12:58
| #8 |
| > MalwareDB | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Dann mal anders Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Credits to Karl83 / KarlKarl |
|
25.04.2008, 13:10
| #9 |
| | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 503B-C9F7
Verzeichnis von C:\
25.04.2008 12:09 1.610.612.736 pagefile.sys
22.04.2008 18:50 207 boot.ini
31.03.2008 21:25 1.024 .rnd
28.03.2008 16:09 48 OP_CACHE.IDX
28.03.2008 16:09 96 OP_CACHE.ATR
21.03.2008 16:55 251.712 ntldr
21.03.2008 16:09 0 AUTOEXEC.BAT
21.03.2008 16:09 0 IO.SYS
21.03.2008 16:09 0 CONFIG.SYS
21.03.2008 16:09 0 MSDOS.SYS
03.08.2004 19:38 47.564 NTDETECT.COM
23.08.2001 11:00 4.952 bootfont.bin
12 Datei(en) 1.610.918.339 Bytes
0 Verzeichnis(se), 26.421.985.280 Bytes frei
----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 503B-C9F7
Verzeichnis von C:\WINXP\system32
25.04.2008 13:56 360.554 vsconfig.xml
25.04.2008 12:10 4.212 zllictbl.dat
25.04.2008 12:09 84.275 oodbs.lor
24.04.2008 21:39 107.832 PnkBstrB.exe
22.04.2008 07:00 110.192 FNTCACHE.DAT
21.04.2008 22:16 409.822 perfh009.dat
21.04.2008 22:16 65.548 perfc009.dat
21.04.2008 22:16 426.308 perfh007.dat
21.04.2008 22:16 79.030 perfc007.dat
21.04.2008 22:16 947.100 PerfStringBackup.INI
21.04.2008 22:16 25.920 OP_CACHE.IDX
21.04.2008 22:16 51.840 OP_CACHE.ATR
21.04.2008 16:55 2.206 wpa.dbl
14.04.2008 18:06 94.465 avsda.dll
05.04.2008 22:56 19.836.024 MRT.exe
29.03.2008 18:30 6.641 jupdate-1.6.0_05-b13.log
25.03.2008 21:47 66.872 PnkBstrA.exe
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 503B-C9F7
Verzeichnis von C:\WINXP\Prefetch
28.03.2008 16:19 1.548 OP_CACHE.IDX
28.03.2008 16:19 3.096 OP_CACHE.ATR
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 503B-C9F7
Verzeichnis von C:\WINXP
25.04.2008 12:51 50 wiaservc.log
25.04.2008 12:51 159 wiadebug.log
25.04.2008 12:10 0 0.log
25.04.2008 12:10 341.725 WindowsUpdate.log
25.04.2008 12:09 2.048 bootstat.dat
24.04.2008 20:13 629.262 setupapi.log
22.04.2008 18:50 227 system.ini
22.04.2008 18:50 507 win.ini
21.04.2008 22:17 85.763 ntdtcsetup.log
21.04.2008 22:17 480.815 iis6.log
21.04.2008 22:17 22.431 ocmsn.log
21.04.2008 22:17 193.672 tsoc.log
21.04.2008 22:17 143.982 comsetup.log
21.04.2008 22:17 1.374 imsins.log
21.04.2008 22:17 21.991 tabletoc.log
21.04.2008 22:17 15.306 KB948881.log
21.04.2008 22:17 73.185 netfxocm.log
21.04.2008 22:17 29.112 MedCtrOC.log
21.04.2008 22:17 242.464 ocgen.log
21.04.2008 22:17 20.908 msgsocm.log
21.04.2008 22:17 413.180 FaxSetup.log
21.04.2008 22:17 132.692 msmqinst.log
21.04.2008 22:14 1.374 imsins.BAK
21.04.2008 22:14 15.306 KB941693.log
21.04.2008 22:14 15.834 KB946026.log
21.04.2008 22:13 520.084 msxml6-KB933579-deu-x86.LOG
21.04.2008 22:11 14.653 KB948590.log
21.04.2008 22:11 9.250 updspapi.log
21.04.2008 22:10 14.633 KB945553.log
21.04.2008 22:04 6.727 wmsetup.log
21.04.2008 19:44 3.840 OP_CACHE.ATR
21.04.2008 19:44 1.920 OP_CACHE.IDX
20.04.2008 12:25 370.171 DirectX.log
17.04.2008 21:05 6.772 KB918997.log
11.04.2008 17:06 21.204 avmfwlanci.log
30.03.2008 17:37 25 CDED92Euro.ini
30.03.2008 16:20 394 ODBC.INI
25.03.2008 19:47 290 game.ini
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 503B-C9F7
Verzeichnis von C:\WINXP\tasks
28.03.2008 16:21 48 OP_CACHE.ATR
28.03.2008 16:21 24 OP_CACHE.IDX
21.03.2008 17:40 6 SA.DAT
23.08.2001 11:00 65 desktop.ini
4 Datei(en) 143 Bytes
0 Verzeichnis(se), 26.421.858.304 Bytes frei
----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 503B-C9F7
Verzeichnis von C:\WINXP\temp
25.04.2008 13:56 256 ZLT035c0.TMP
25.04.2008 13:56 256 ZLT035bc.TMP
25.04.2008 12:09 85 vmware-vmount.log
25.04.2008 12:09 16.384 Perflib_Perfdata_5f0.dat
24.04.2008 20:21 85 vmware-vmount-1.log
24.04.2008 20:21 16.384 Perflib_Perfdata_98c.dat
24.04.2008 20:20 256 ZLT064fc.TMP
24.04.2008 20:20 256 ZLT00d9f.TMP
24.04.2008 18:15 85 vmware-vmount-2.log
24.04.2008 18:13 256 ZLT02bcb.TMP
24.04.2008 18:13 256 ZLT02bc8.TMP
23.04.2008 20:47 85 vmware-vmount-3.log
23.04.2008 20:47 16.384 Perflib_Perfdata_9bc.dat
23.04.2008 20:44 256 ZLT0517c.TMP
23.04.2008 20:44 256 ZLT05179.TMP
22.04.2008 23:26 0 etilqs_VWaXIQqitSHwBeG
22.04.2008 23:26 0 etilqs_42ubrQWudp5KUhX-journal
22.04.2008 23:26 0 etilqs_fw2jNVtFNFQPzfQ
22.04.2008 21:13 85 vmware-vmount-4.log
22.04.2008 21:13 16.384 Perflib_Perfdata_938.dat
22.04.2008 19:00 85 vmware-vmount-5.log
22.04.2008 18:57 256 ZLT074a3.TMP
22.04.2008 18:57 256 ZLT031c7.TMP
22.04.2008 18:29 85 vmware-vmount-6.log
22.04.2008 18:29 16.384 Perflib_Perfdata_918.dat
22.04.2008 18:26 256 ZLT01a07.TMP
22.04.2008 18:26 256 ZLT01a03.TMP
22.04.2008 18:23 256 ZLT017ae.TMP
22.04.2008 18:23 256 ZLT017aa.TMP
22.04.2008 07:03 85 vmware-vmount-7.log
22.04.2008 07:03 16.384 Perflib_Perfdata_ed8.dat
22.04.2008 07:00 256 ZLT07e6f.TMP
22.04.2008 07:00 256 ZLT00d19.TMP
21.04.2008 22:14 9.854 NetFxUpdate_v1.1.4322.log
21.04.2008 19:00 0 sdbA.tmp
21.04.2008 19:00 85 vmware-vmount-8.log
21.04.2008 19:00 16.384 Perflib_Perfdata_a1c.dat
21.04.2008 16:56 85 vmware-vmount-9.log
21.04.2008 16:56 16.384 Perflib_Perfdata_5a8.dat
20.04.2008 12:13 85 vmware-vmount-10.log
20.04.2008 12:13 16.384 Perflib_Perfdata_7dc.dat
19.04.2008 21:47 0 etilqs_2Yqon2oEyVvRalB-journal
19.04.2008 21:47 0 etilqs_Qebx7En7KVDKsVg
19.04.2008 21:47 0 etilqs_DNimrUNpI6AtYge
18.04.2008 15:21 16.384 Perflib_Perfdata_bac.dat
18.04.2008 15:02 0 etilqs_hrUUz8RQg3YVse8-journal
18.04.2008 15:02 1.028 etilqs_aKoJKGn0bpZIFmQ
18.04.2008 15:02 34.816 etilqs_t75poIgxKE1n0ho
18.04.2008 13:00 0 sdb17.tmp
18.04.2008 12:17 16.384 Perflib_Perfdata_360.dat
17.04.2008 21:31 16.384 Perflib_Perfdata_534.dat
17.04.2008 21:10 16.384 Perflib_Perfdata_b50.dat
17.04.2008 20:51 16.384 Perflib_Perfdata_1cc.dat
17.04.2008 18:03 842 vminst.log
17.04.2008 18:02 16.384 Perflib_Perfdata_350.dat
17.04.2008 17:53 1.028 etilqs_3iFTogs6T38Mzb5
17.04.2008 17:53 0 etilqs_Bm0F7zaBBDt2YZT
17.04.2008 17:53 512 etilqs_2A114raT7Wbmfue-journal
17.04.2008 17:00 0 sdb11.tmp
17.04.2008 16:00 16.384 Perflib_Perfdata_e60.dat
16.04.2008 21:00 0 sdb10.tmp
16.04.2008 20:38 16.384 Perflib_Perfdata_72c.dat
16.04.2008 00:10 0 etilqs_51IZ4AynOsD6rr9-journal
16.04.2008 00:10 1.028 etilqs_6P73ficFaePOzE0
16.04.2008 00:10 31.744 etilqs_iFjLofqIQuOMFIb
15.04.2008 18:00 0 sdb16.tmp
15.04.2008 16:43 16.384 Perflib_Perfdata_6cc.dat
14.04.2008 23:45 30.720 etilqs_TrkMzst60e1tfOc
14.04.2008 23:45 1.028 etilqs_xOJplj09Nm2hrrf
14.04.2008 23:45 0 etilqs_UtOBkMZAGrLKVa4-journal
14.04.2008 21:06 16.384 Perflib_Perfdata_a9c.dat
14.04.2008 18:00 0 sdbE.tmp
14.04.2008 17:53 16.384 Perflib_Perfdata_940.dat
13.04.2008 13:08 16.384 Perflib_Perfdata_c14.dat
12.04.2008 10:50 16.384 Perflib_Perfdata_18c.dat
11.04.2008 21:39 16.384 Perflib_Perfdata_c20.dat
11.04.2008 19:17 16.384 Perflib_Perfdata_3c0.dat
11.04.2008 18:02 16.384 Perflib_Perfdata_ad4.dat
11.04.2008 16:00 0 sdb12.tmp
10.04.2008 17:47 16.384 Perflib_Perfdata_c18.dat
09.04.2008 19:00 0 sdbD.tmp
09.04.2008 18:02 16.384 Perflib_Perfdata_744.dat
08.04.2008 19:00 0 sdb1B.tmp
08.04.2008 18:16 16.384 Perflib_Perfdata_1ac.dat
07.04.2008 23:05 16.384 Perflib_Perfdata_824.dat
06.04.2008 21:25 16.384 Perflib_Perfdata_308.dat
05.04.2008 08:13 16.384 Perflib_Perfdata_958.dat
04.04.2008 17:00 0 sdbF.tmp
04.04.2008 16:01 16.384 Perflib_Perfdata_1bc.dat
03.04.2008 23:02 16.384 Perflib_Perfdata_66c.dat
03.04.2008 21:00 0 sdbC.tmp
03.04.2008 18:10 16.384 Perflib_Perfdata_3b8.dat
03.04.2008 07:36 16.384 Perflib_Perfdata_7f0.dat
02.04.2008 21:01 16.384 Perflib_Perfdata_450.dat
02.04.2008 19:06 16.384 Perflib_Perfdata_a68.dat
01.04.2008 20:54 16.384 Perflib_Perfdata_724.dat
01.04.2008 17:00 0 sdbB.tmp
01.04.2008 16:49 16.384 Perflib_Perfdata_398.dat
31.03.2008 21:52 16.384 Perflib_Perfdata_58c.dat
31.03.2008 21:27 16.384 Perflib_Perfdata_2d4.dat
31.03.2008 21:26 16.384 Perflib_Perfdata_cf0.dat
31.03.2008 17:00 0 sdb7.tmp
30.03.2008 17:45 24 OP_CACHE.IDX
30.03.2008 17:45 48 OP_CACHE.ATR
28.03.2008 12:00 0 sdb8.tmp
27.03.2008 12:00 0 sdb6.tmp
26.03.2008 13:00 0 sdb5.tmp
24.03.2008 23:00 0 sdb4.tmp
21.03.2008 19:01 0 sdb14.tmp
21.03.2008 17:27 120 E_S84.tmp
17.09.2003 18:20 221.184 RegModule.exe
05.09.2003 11:54 1.974 RegModule.ini
112 Datei(en) 1.029.109 Bytes
0 Verzeichnis(se), 26.421.854.208 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 503B-C9F7
Verzeichnis von C:\DOKUME~1\Flo\LOKALE~1\Temp
25.04.2008 14:09 134.464 filelist.txt
25.04.2008 13:56 16.384 ~DF873F.tmp
25.04.2008 13:55 158 sarscan.log
25.04.2008 12:44 114.688 ~DFD973.tmp
25.04.2008 12:15 7.560 jusched.log
25.04.2008 12:11 16.384 Perflib_Perfdata_b68.dat
24.04.2008 20:22 16.384 ~DFF911.tmp
24.04.2008 18:26 16.384 ~DFBD5E.tmp
23.04.2008 20:47 16.384 ~DFDF4D.tmp
22.04.2008 23:23 71.680 GLB23.tmp
22.04.2008 19:58 1.024 5ujx13wg.exe
22.04.2008 18:58 16.384 ~DF5856.tmp
22.04.2008 18:28 16.384 ~DFEF98.tmp
22.04.2008 07:04 98.304 ~DFA090.tmp
21.04.2008 22:17 83.202 dd_dotnetfx20install.txt
21.04.2008 22:17 18.538 uxeventlog.txt
21.04.2008 22:17 12.055.722 dd_NET_Framework20_Setup7A93.txt
21.04.2008 22:16 5.156 ASPNETSetup_00002.log
21.04.2008 22:14 21.440 dd_depcheck_NETFX20_EXP_35.txt
21.04.2008 22:14 2 dd_dotnetfx20error.txt
21.04.2008 22:13 36.125 netfxsl.log
21.04.2008 22:13 1.547 NetFxUpdate_v1.1.4322.log
21.04.2008 22:12 5.010 ASPNETSetup_00001.log
21.04.2008 22:09 1.552 wmplog00.sqm
21.04.2008 20:14 98.304 ~DFF56B.tmp
21.04.2008 20:07 136 profiler.log
21.04.2008 19:44 186 op_install.log
21.04.2008 19:44 88.117 vminst.log
21.04.2008 19:43 89 op_install.0
21.04.2008 19:39 414 _iu14D2N.log
21.04.2008 19:38 504 OP_CACHE.IDX
21.04.2008 19:38 1.008 OP_CACHE.ATR
20.04.2008 13:33 3.584 4ae1be.mst
20.04.2008 13:33 2.444 dotNetFx.log
18.04.2008 23:29 618 InstallRemover28907.log
18.04.2008 12:53 14.797 Operation Blitzsturm [found-on-www-bitreactor-to]-1.torrent
17.04.2008 21:30 22.264 739c_appcompat.txt
17.04.2008 21:27 81.920 ~DF44EC.tmp
17.04.2008 21:11 81.920 ~DFA857.tmp
17.04.2008 16:14 10.341.032 Azureus3.0.5.2.jar
17.04.2008 16:07 9.658 AZU12960.tmp
14.04.2008 20:25 0 JET1F75.tmp
14.04.2008 17:52 16.384 Perflib_Perfdata_434.dat
13.04.2008 14:18 21.406.208 ~WRS0002.tmp
05.04.2008 16:38 309.979 azplugins_2.1.4.jar
05.04.2008 16:38 778 AZU27839.tmp
05.04.2008 16:38 121.594 azupnpav_0.2.1.zip
05.04.2008 16:38 3.424 AZU27836.tmp
05.04.2008 16:38 532.307 azplatform2_1.16.zip
05.04.2008 16:37 3.699 AZU27834.tmp
05.04.2008 16:36 24.846 azupdater_1.8.8.zip
05.04.2008 16:36 3.361 AZU27832.tmp
05.04.2008 16:00 323.584 swt-win32-3430.dll
05.04.2008 14:40 0 885a_appcompat.txt
05.04.2008 09:08 10.285.597 Azureus3.0.5.0.jar
05.04.2008 09:04 9.599 AZU28864.tmp
05.04.2008 09:04 4.576 AZU28861.tmp
05.04.2008 08:13 16.384 Perflib_Perfdata_364.dat
04.04.2008 16:51 0 AZ_2559.r00
04.04.2008 16:50 9.599 AZU2556.tmp
04.04.2008 16:50 1.946.140 swt-3430-win32-win32-x86.zip
04.04.2008 16:48 4.576 AZU2554.tmp
04.04.2008 16:15 14.797 Operation Blitzsturm [found-on-www-bitreactor-to].torrent
04.04.2008 16:02 16.384 Perflib_Perfdata_ea8.dat
31.03.2008 21:53 2.661.492 vmmsi.log
31.03.2008 21:42 28.160 mso49.tmp
31.03.2008 21:38 8.192 vnetlib.config
31.03.2008 21:28 52.237 vminst.log_20080331_212809_Failed.log
31.03.2008 21:28 1.865.664 vmmsi.log_20080331_212809_Failed.log
31.03.2008 17:52 500.976 VPCInstallLog.txt
31.03.2008 17:50 910.080 msxml6-KB927977-enu-x86.exe
31.03.2008 17:50 167.424 1031.mst
31.03.2008 17:50 28.084.736 Virtual_PC_2007_Install.msi
29.03.2008 18:31 708 java_install_reg.log
29.03.2008 18:30 0 java_install.log
29.03.2008 18:28 8.170 jinstall.cfg
29.03.2008 18:28 382.352 tmp.xpi
27.03.2008 23:56 2.577 Nero78d8f97499fd424d8c969c0ae30cf190.nrd
27.03.2008 11:12 20.954 Mai3C.tmp
25.03.2008 17:19 49.152 e8cf.rra
25.03.2008 17:11 2.597 Nero699697c24fee426f8184c1a933f6e97b.nrd
25.03.2008 16:47 16.384 Perflib_Perfdata_9d0.dat
25.03.2008 15:54 0 NER4A.tmp
25.03.2008 15:54 4.096 BCG49.tmp
25.03.2008 15:54 4.096 BCG46.tmp
|
|
25.04.2008, 13:37
| #10 |
| > MalwareDB | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete:
C:\OP_CACHE.IDX
C:\OP_CACHE.ATR
C:\WINXP\system32\OP_CACHE.IDX
C:\WINXP\system32\OP_CACHE.ATR
C:\WINXP\Prefetch\OP_CACHE.IDX
C:\WINXP\Prefetch\OP_CACHE.ATR
C:\WINXP\OP_CACHE.ATR
C:\WINXP\OP_CACHE.IDX
C:\WINXP\tasks\OP_CACHE.ATR
C:\WINXP\tasks\OP_CACHE.IDX
C:\WINXP\temp\OP_CACHE.IDX
C:\WINXP\temp\OP_CACHE.ATR
C:\DOKUME~1\Flo\LOKALE~1\Temp\OP_CACHE.IDX
C:\DOKUME~1\Flo\LOKALE~1\Temp\OP_CACHE.ATR
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag. Geändert von BataAlexander (25.04.2008 um 13:45 Uhr) |
|
25.04.2008, 14:04
| #11 |
| | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\OP_CACHE.IDX" deleted successfully.
File "C:\OP_CACHE.ATR" deleted successfully.
File "C:\WINXP\system32\OP_CACHE.IDX" deleted successfully.
File "C:\WINXP\system32\OP_CACHE.ATR" deleted successfully.
File "C:\WINXP\Prefetch\OP_CACHE.IDX" deleted successfully.
File "C:\WINXP\Prefetch\OP_CACHE.ATR" deleted successfully.
Error: could not delete file "C:\WINXP\OP_CACHE.ATR"
Deletion of file "C:\WINXP\OP_CACHE.ATR" failed!
Status: 0xc0000035 (STATUS_OBJECT_NAME_COLLISION)
--> another object exists already with the same name
Error: could not delete file "C:\WINXP\OP_CACHE.IDX"
Deletion of file "C:\WINXP\OP_CACHE.IDX" failed!
Status: 0xc0000035 (STATUS_OBJECT_NAME_COLLISION)
--> another object exists already with the same name
File "C:\WINXP\tasks\OP_CACHE.ATR" deleted successfully.
File "C:\WINXP\tasks\OP_CACHE.IDX" deleted successfully.
File "C:\WINXP\temp\OP_CACHE.IDX" deleted successfully.
File "C:\WINXP\temp\OP_CACHE.ATR" deleted successfully.
File "C:\DOKUME~1\Flo\LOKALE~1\Temp\OP_CACHE.IDX" deleted successfully.
File "C:\DOKUME~1\Flo\LOKALE~1\Temp\OP_CACHE.ATR" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
 |
|
25.04.2008, 14:20
| #12 |
| > MalwareDB | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Lade bitte die angehängte Datei herunter und benenne sie in listfiles.bat um. Dann doppelklicken. Danach hast Du eine Datei listfiles.txt unter c: deren Inhalt hier bitte posten. |
|
25.04.2008, 15:27
| #13 |
| | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....Code:
ATTFilter Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 503B-C9F7
|
|
25.04.2008, 15:35
| #14 |
| > MalwareDB | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... Dann mal bitte ein neues HJT Log. |
|
25.04.2008, 15:36
| #15 |
| | OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:39:21, on 25.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20733) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\ZoneLabs\vsmon.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINXP\system32\oodag.exe C:\WINXP\system32\PnkBstrA.exe C:\WINXP\system32\PnkBstrB.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINXP\system32\vmnat.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE C:\WINXP\system32\vmnetdhcp.exe C:\WINXP\Explorer.EXE C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe C:\WINXP\system32\taskswitch.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\WINXP\system32\oodtray.exe C:\WINXP\System32\svchost.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\WINXP\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.www.daemon-search.com/default R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINXP\system32\taskswitch.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [OODefragTray] C:\WINXP\system32\oodtray.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINXP\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - S-1-5-18 Startup: OP_CACHE.ATR (User 'SYSTEM') O4 - S-1-5-18 Startup: OP_CACHE.IDX (User 'SYSTEM') O4 - .DEFAULT Startup: OP_CACHE.ATR (User 'Default user') O4 - .DEFAULT Startup: OP_CACHE.IDX (User 'Default user') O4 - Startup: OP_CACHE.ATR O4 - Startup: OP_CACHE.IDX O4 - Global Startup: OP_CACHE.ATR O4 - Global Startup: OP_CACHE.IDX O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINXP\system32\PnkBstrB.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINXP\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINXP\system32\vmnat.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe -- End of file - 10271 bytes |
|
| Themen zu OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... |
| adobe, antivir, antivir premium, avira, avira antivir premium, bho, booten, computer, excel, explorer, file, firefox, free download, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, launch, log, log file, löschen, mozilla, mozilla firefox, mozilla thunderbird, programme, regsvr32, software, stick, suche, systemstartelemente, teamspeak, windows, windows xp |
Linear-Darstellung
