Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 25.04.2008, 11:58   #1
der Florian
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Hallo zusammen!

Habe leider bei der Suche im Internet nichts aussagekräftiges zu diesen 2 Systemstartelementen gefunden, die sich einfach im Autostart festgesetzt haben. Ich kann diese insgesammt 4 Systemstartelemente abwählen und den Computer neu booten, danach sind die Häckchen wieder drin....

Weiterhin habe ich festgestellt, das im Thunderbird 4 Unterordner in bereits bestehende Ordner angelegt wurden, die die oben beschriebenen Namen enthalten. Diese kann ich löschen wie ich will, sie werden immer wieder neu erstellt....

Die Suche mit AntiVir hat nichts ergeben, deswegen habe ich den HiJackThis drüberlaufen lassen und poste mal das Log File!

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:44:29, on 25.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\ZoneLabs\vsmon.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\system32\oodag.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\PnkBstrB.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINXP\system32\vmnat.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINXP\system32\vmnetdhcp.exe
C:\WINXP\Explorer.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINXP\system32\taskswitch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\oodtray.exe
C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = daemon-search.com/default
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINXP\system32\taskswitch.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINXP\system32\oodtray.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-18 Startup: OP_CACHE.ATR (User 'SYSTEM')
O4 - S-1-5-18 Startup: OP_CACHE.IDX (User 'SYSTEM')
O4 - .DEFAULT Startup: OP_CACHE.ATR (User 'Default user')
O4 - .DEFAULT Startup: OP_CACHE.IDX (User 'Default user')
O4 - Startup: OP_CACHE.ATR
O4 - Startup: OP_CACHE.IDX
O4 - Global Startup: OP_CACHE.ATR
O4 - Global Startup: OP_CACHE.IDX
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINXP\system32\PnkBstrB.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINXP\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINXP\system32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe

--
End of file - 10186 bytes
         

Alt 25.04.2008, 12:09   #2
BataAlexander
> MalwareDB
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Hattest Du eine Software von Outpost/Agnitum auf dem Rechner?
__________________


Alt 25.04.2008, 12:16   #3
der Florian
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Zitat:
Zitat von BataAlexander Beitrag anzeigen
Hattest Du eine Software von Outpost/Agnitum auf dem Rechner?
Ja, ich hatte die Outpost Firewall drauf, habe diese aber deinstalliert.
__________________

Alt 25.04.2008, 12:20   #4
BataAlexander
> MalwareDB
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Das ist ein Rest davon, war ne Beta, daher kein Wunder, dass was bleibt.
Die Dateien sind keine Bedrohung im klassichen Sinn, laufen halt nur im geschützen Modus.

Lassen wir mal Blacklight suchen.

F-Secure Blacklight - Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Benennen die Datei um (Beispiel: test.com)
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Alt 25.04.2008, 12:38   #5
der Florian
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Ich habe gescannt und laut dem Programm wurde nichts gefunden. Eine Datei wurd nirgends abgelegt....


Alt 25.04.2008, 12:41   #6
BataAlexander
> MalwareDB
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Sophos Anti-RootKit

- Gehe zu Sophos - (Anleitung) und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
- Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
- Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
- Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
- Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.
(Thx to Argos)

Alt 25.04.2008, 12:56   #7
der Florian
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Code:
ATTFilter
Sophos Anti-Rootkit Version 1.3.1 (data 1.08)  (c) 2006 Sophos Plc
Started logging on 25.04.2008 at 13:51:36
Stopped logging on 25.04.2008 at 13:55:51
         

Alt 25.04.2008, 12:58   #8
BataAlexander
> MalwareDB
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Dann mal anders

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

Alt 25.04.2008, 13:10   #9
der Florian
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Code:
ATTFilter
----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 503B-C9F7

 Verzeichnis von C:\

25.04.2008  12:09     1.610.612.736 pagefile.sys
22.04.2008  18:50               207 boot.ini
31.03.2008  21:25             1.024 .rnd
28.03.2008  16:09                48 OP_CACHE.IDX
28.03.2008  16:09                96 OP_CACHE.ATR
21.03.2008  16:55           251.712 ntldr
21.03.2008  16:09                 0 AUTOEXEC.BAT
21.03.2008  16:09                 0 IO.SYS
21.03.2008  16:09                 0 CONFIG.SYS
21.03.2008  16:09                 0 MSDOS.SYS
03.08.2004  19:38            47.564 NTDETECT.COM
23.08.2001  11:00             4.952 bootfont.bin
              12 Datei(en)  1.610.918.339 Bytes
               0 Verzeichnis(se), 26.421.985.280 Bytes frei
 
----- System32 ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 503B-C9F7

 Verzeichnis von C:\WINXP\system32

25.04.2008  13:56           360.554 vsconfig.xml
25.04.2008  12:10             4.212 zllictbl.dat
25.04.2008  12:09            84.275 oodbs.lor
24.04.2008  21:39           107.832 PnkBstrB.exe
22.04.2008  07:00           110.192 FNTCACHE.DAT
21.04.2008  22:16           409.822 perfh009.dat
21.04.2008  22:16            65.548 perfc009.dat
21.04.2008  22:16           426.308 perfh007.dat
21.04.2008  22:16            79.030 perfc007.dat
21.04.2008  22:16           947.100 PerfStringBackup.INI
21.04.2008  22:16            25.920 OP_CACHE.IDX
21.04.2008  22:16            51.840 OP_CACHE.ATR
21.04.2008  16:55             2.206 wpa.dbl
14.04.2008  18:06            94.465 avsda.dll
05.04.2008  22:56        19.836.024 MRT.exe
29.03.2008  18:30             6.641 jupdate-1.6.0_05-b13.log
25.03.2008  21:47            66.872 PnkBstrA.exe

----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 503B-C9F7

 Verzeichnis von C:\WINXP\Prefetch

28.03.2008  16:19             1.548 OP_CACHE.IDX
28.03.2008  16:19             3.096 OP_CACHE.ATR

----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 503B-C9F7

 Verzeichnis von C:\WINXP

25.04.2008  12:51                50 wiaservc.log
25.04.2008  12:51               159 wiadebug.log
25.04.2008  12:10                 0 0.log
25.04.2008  12:10           341.725 WindowsUpdate.log
25.04.2008  12:09             2.048 bootstat.dat
24.04.2008  20:13           629.262 setupapi.log
22.04.2008  18:50               227 system.ini
22.04.2008  18:50               507 win.ini
21.04.2008  22:17            85.763 ntdtcsetup.log
21.04.2008  22:17           480.815 iis6.log
21.04.2008  22:17            22.431 ocmsn.log
21.04.2008  22:17           193.672 tsoc.log
21.04.2008  22:17           143.982 comsetup.log
21.04.2008  22:17             1.374 imsins.log
21.04.2008  22:17            21.991 tabletoc.log
21.04.2008  22:17            15.306 KB948881.log
21.04.2008  22:17            73.185 netfxocm.log
21.04.2008  22:17            29.112 MedCtrOC.log
21.04.2008  22:17           242.464 ocgen.log
21.04.2008  22:17            20.908 msgsocm.log
21.04.2008  22:17           413.180 FaxSetup.log
21.04.2008  22:17           132.692 msmqinst.log
21.04.2008  22:14             1.374 imsins.BAK
21.04.2008  22:14            15.306 KB941693.log
21.04.2008  22:14            15.834 KB946026.log
21.04.2008  22:13           520.084 msxml6-KB933579-deu-x86.LOG
21.04.2008  22:11            14.653 KB948590.log
21.04.2008  22:11             9.250 updspapi.log
21.04.2008  22:10            14.633 KB945553.log
21.04.2008  22:04             6.727 wmsetup.log
21.04.2008  19:44             3.840 OP_CACHE.ATR
21.04.2008  19:44             1.920 OP_CACHE.IDX
20.04.2008  12:25           370.171 DirectX.log
17.04.2008  21:05             6.772 KB918997.log
11.04.2008  17:06            21.204 avmfwlanci.log
30.03.2008  17:37                25 CDED92Euro.ini
30.03.2008  16:20               394 ODBC.INI
25.03.2008  19:47               290 game.ini
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 503B-C9F7

 Verzeichnis von C:\WINXP\tasks

28.03.2008  16:21                48 OP_CACHE.ATR
28.03.2008  16:21                24 OP_CACHE.IDX
21.03.2008  17:40                 6 SA.DAT
23.08.2001  11:00                65 desktop.ini
               4 Datei(en)            143 Bytes
               0 Verzeichnis(se), 26.421.858.304 Bytes frei
 
----- Wintemp -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 503B-C9F7

 Verzeichnis von C:\WINXP\temp

25.04.2008  13:56               256 ZLT035c0.TMP
25.04.2008  13:56               256 ZLT035bc.TMP
25.04.2008  12:09                85 vmware-vmount.log
25.04.2008  12:09            16.384 Perflib_Perfdata_5f0.dat
24.04.2008  20:21                85 vmware-vmount-1.log
24.04.2008  20:21            16.384 Perflib_Perfdata_98c.dat
24.04.2008  20:20               256 ZLT064fc.TMP
24.04.2008  20:20               256 ZLT00d9f.TMP
24.04.2008  18:15                85 vmware-vmount-2.log
24.04.2008  18:13               256 ZLT02bcb.TMP
24.04.2008  18:13               256 ZLT02bc8.TMP
23.04.2008  20:47                85 vmware-vmount-3.log
23.04.2008  20:47            16.384 Perflib_Perfdata_9bc.dat
23.04.2008  20:44               256 ZLT0517c.TMP
23.04.2008  20:44               256 ZLT05179.TMP
22.04.2008  23:26                 0 etilqs_VWaXIQqitSHwBeG
22.04.2008  23:26                 0 etilqs_42ubrQWudp5KUhX-journal
22.04.2008  23:26                 0 etilqs_fw2jNVtFNFQPzfQ
22.04.2008  21:13                85 vmware-vmount-4.log
22.04.2008  21:13            16.384 Perflib_Perfdata_938.dat
22.04.2008  19:00                85 vmware-vmount-5.log
22.04.2008  18:57               256 ZLT074a3.TMP
22.04.2008  18:57               256 ZLT031c7.TMP
22.04.2008  18:29                85 vmware-vmount-6.log
22.04.2008  18:29            16.384 Perflib_Perfdata_918.dat
22.04.2008  18:26               256 ZLT01a07.TMP
22.04.2008  18:26               256 ZLT01a03.TMP
22.04.2008  18:23               256 ZLT017ae.TMP
22.04.2008  18:23               256 ZLT017aa.TMP
22.04.2008  07:03                85 vmware-vmount-7.log
22.04.2008  07:03            16.384 Perflib_Perfdata_ed8.dat
22.04.2008  07:00               256 ZLT07e6f.TMP
22.04.2008  07:00               256 ZLT00d19.TMP
21.04.2008  22:14             9.854 NetFxUpdate_v1.1.4322.log
21.04.2008  19:00                 0 sdbA.tmp
21.04.2008  19:00                85 vmware-vmount-8.log
21.04.2008  19:00            16.384 Perflib_Perfdata_a1c.dat
21.04.2008  16:56                85 vmware-vmount-9.log
21.04.2008  16:56            16.384 Perflib_Perfdata_5a8.dat
20.04.2008  12:13                85 vmware-vmount-10.log
20.04.2008  12:13            16.384 Perflib_Perfdata_7dc.dat
19.04.2008  21:47                 0 etilqs_2Yqon2oEyVvRalB-journal
19.04.2008  21:47                 0 etilqs_Qebx7En7KVDKsVg
19.04.2008  21:47                 0 etilqs_DNimrUNpI6AtYge
18.04.2008  15:21            16.384 Perflib_Perfdata_bac.dat
18.04.2008  15:02                 0 etilqs_hrUUz8RQg3YVse8-journal
18.04.2008  15:02             1.028 etilqs_aKoJKGn0bpZIFmQ
18.04.2008  15:02            34.816 etilqs_t75poIgxKE1n0ho
18.04.2008  13:00                 0 sdb17.tmp
18.04.2008  12:17            16.384 Perflib_Perfdata_360.dat
17.04.2008  21:31            16.384 Perflib_Perfdata_534.dat
17.04.2008  21:10            16.384 Perflib_Perfdata_b50.dat
17.04.2008  20:51            16.384 Perflib_Perfdata_1cc.dat
17.04.2008  18:03               842 vminst.log
17.04.2008  18:02            16.384 Perflib_Perfdata_350.dat
17.04.2008  17:53             1.028 etilqs_3iFTogs6T38Mzb5
17.04.2008  17:53                 0 etilqs_Bm0F7zaBBDt2YZT
17.04.2008  17:53               512 etilqs_2A114raT7Wbmfue-journal
17.04.2008  17:00                 0 sdb11.tmp
17.04.2008  16:00            16.384 Perflib_Perfdata_e60.dat
16.04.2008  21:00                 0 sdb10.tmp
16.04.2008  20:38            16.384 Perflib_Perfdata_72c.dat
16.04.2008  00:10                 0 etilqs_51IZ4AynOsD6rr9-journal
16.04.2008  00:10             1.028 etilqs_6P73ficFaePOzE0
16.04.2008  00:10            31.744 etilqs_iFjLofqIQuOMFIb
15.04.2008  18:00                 0 sdb16.tmp
15.04.2008  16:43            16.384 Perflib_Perfdata_6cc.dat
14.04.2008  23:45            30.720 etilqs_TrkMzst60e1tfOc
14.04.2008  23:45             1.028 etilqs_xOJplj09Nm2hrrf
14.04.2008  23:45                 0 etilqs_UtOBkMZAGrLKVa4-journal
14.04.2008  21:06            16.384 Perflib_Perfdata_a9c.dat
14.04.2008  18:00                 0 sdbE.tmp
14.04.2008  17:53            16.384 Perflib_Perfdata_940.dat
13.04.2008  13:08            16.384 Perflib_Perfdata_c14.dat
12.04.2008  10:50            16.384 Perflib_Perfdata_18c.dat
11.04.2008  21:39            16.384 Perflib_Perfdata_c20.dat
11.04.2008  19:17            16.384 Perflib_Perfdata_3c0.dat
11.04.2008  18:02            16.384 Perflib_Perfdata_ad4.dat
11.04.2008  16:00                 0 sdb12.tmp
10.04.2008  17:47            16.384 Perflib_Perfdata_c18.dat
09.04.2008  19:00                 0 sdbD.tmp
09.04.2008  18:02            16.384 Perflib_Perfdata_744.dat
08.04.2008  19:00                 0 sdb1B.tmp
08.04.2008  18:16            16.384 Perflib_Perfdata_1ac.dat
07.04.2008  23:05            16.384 Perflib_Perfdata_824.dat
06.04.2008  21:25            16.384 Perflib_Perfdata_308.dat
05.04.2008  08:13            16.384 Perflib_Perfdata_958.dat
04.04.2008  17:00                 0 sdbF.tmp
04.04.2008  16:01            16.384 Perflib_Perfdata_1bc.dat
03.04.2008  23:02            16.384 Perflib_Perfdata_66c.dat
03.04.2008  21:00                 0 sdbC.tmp
03.04.2008  18:10            16.384 Perflib_Perfdata_3b8.dat
03.04.2008  07:36            16.384 Perflib_Perfdata_7f0.dat
02.04.2008  21:01            16.384 Perflib_Perfdata_450.dat
02.04.2008  19:06            16.384 Perflib_Perfdata_a68.dat
01.04.2008  20:54            16.384 Perflib_Perfdata_724.dat
01.04.2008  17:00                 0 sdbB.tmp
01.04.2008  16:49            16.384 Perflib_Perfdata_398.dat
31.03.2008  21:52            16.384 Perflib_Perfdata_58c.dat
31.03.2008  21:27            16.384 Perflib_Perfdata_2d4.dat
31.03.2008  21:26            16.384 Perflib_Perfdata_cf0.dat
31.03.2008  17:00                 0 sdb7.tmp
30.03.2008  17:45                24 OP_CACHE.IDX
30.03.2008  17:45                48 OP_CACHE.ATR
28.03.2008  12:00                 0 sdb8.tmp
27.03.2008  12:00                 0 sdb6.tmp
26.03.2008  13:00                 0 sdb5.tmp
24.03.2008  23:00                 0 sdb4.tmp
21.03.2008  19:01                 0 sdb14.tmp
21.03.2008  17:27               120 E_S84.tmp
17.09.2003  18:20           221.184 RegModule.exe
05.09.2003  11:54             1.974 RegModule.ini
             112 Datei(en)      1.029.109 Bytes
               0 Verzeichnis(se), 26.421.854.208 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 503B-C9F7

 Verzeichnis von C:\DOKUME~1\Flo\LOKALE~1\Temp

25.04.2008  14:09           134.464 filelist.txt
25.04.2008  13:56            16.384 ~DF873F.tmp
25.04.2008  13:55               158 sarscan.log
25.04.2008  12:44           114.688 ~DFD973.tmp
25.04.2008  12:15             7.560 jusched.log
25.04.2008  12:11            16.384 Perflib_Perfdata_b68.dat
24.04.2008  20:22            16.384 ~DFF911.tmp
24.04.2008  18:26            16.384 ~DFBD5E.tmp
23.04.2008  20:47            16.384 ~DFDF4D.tmp
22.04.2008  23:23            71.680 GLB23.tmp
22.04.2008  19:58             1.024 5ujx13wg.exe
22.04.2008  18:58            16.384 ~DF5856.tmp
22.04.2008  18:28            16.384 ~DFEF98.tmp
22.04.2008  07:04            98.304 ~DFA090.tmp
21.04.2008  22:17            83.202 dd_dotnetfx20install.txt
21.04.2008  22:17            18.538 uxeventlog.txt
21.04.2008  22:17        12.055.722 dd_NET_Framework20_Setup7A93.txt
21.04.2008  22:16             5.156 ASPNETSetup_00002.log
21.04.2008  22:14            21.440 dd_depcheck_NETFX20_EXP_35.txt
21.04.2008  22:14                 2 dd_dotnetfx20error.txt
21.04.2008  22:13            36.125 netfxsl.log
21.04.2008  22:13             1.547 NetFxUpdate_v1.1.4322.log
21.04.2008  22:12             5.010 ASPNETSetup_00001.log
21.04.2008  22:09             1.552 wmplog00.sqm
21.04.2008  20:14            98.304 ~DFF56B.tmp
21.04.2008  20:07               136 profiler.log
21.04.2008  19:44               186 op_install.log
21.04.2008  19:44            88.117 vminst.log
21.04.2008  19:43                89 op_install.0
21.04.2008  19:39               414 _iu14D2N.log
21.04.2008  19:38               504 OP_CACHE.IDX
21.04.2008  19:38             1.008 OP_CACHE.ATR
20.04.2008  13:33             3.584 4ae1be.mst
20.04.2008  13:33             2.444 dotNetFx.log
18.04.2008  23:29               618 InstallRemover28907.log
18.04.2008  12:53            14.797 Operation Blitzsturm [found-on-www-bitreactor-to]-1.torrent
17.04.2008  21:30            22.264 739c_appcompat.txt
17.04.2008  21:27            81.920 ~DF44EC.tmp
17.04.2008  21:11            81.920 ~DFA857.tmp
17.04.2008  16:14        10.341.032 Azureus3.0.5.2.jar
17.04.2008  16:07             9.658 AZU12960.tmp
14.04.2008  20:25                 0 JET1F75.tmp
14.04.2008  17:52            16.384 Perflib_Perfdata_434.dat
13.04.2008  14:18        21.406.208 ~WRS0002.tmp
05.04.2008  16:38           309.979 azplugins_2.1.4.jar
05.04.2008  16:38               778 AZU27839.tmp
05.04.2008  16:38           121.594 azupnpav_0.2.1.zip
05.04.2008  16:38             3.424 AZU27836.tmp
05.04.2008  16:38           532.307 azplatform2_1.16.zip
05.04.2008  16:37             3.699 AZU27834.tmp
05.04.2008  16:36            24.846 azupdater_1.8.8.zip
05.04.2008  16:36             3.361 AZU27832.tmp
05.04.2008  16:00           323.584 swt-win32-3430.dll
05.04.2008  14:40                 0 885a_appcompat.txt
05.04.2008  09:08        10.285.597 Azureus3.0.5.0.jar
05.04.2008  09:04             9.599 AZU28864.tmp
05.04.2008  09:04             4.576 AZU28861.tmp
05.04.2008  08:13            16.384 Perflib_Perfdata_364.dat
04.04.2008  16:51                 0 AZ_2559.r00
04.04.2008  16:50             9.599 AZU2556.tmp
04.04.2008  16:50         1.946.140 swt-3430-win32-win32-x86.zip
04.04.2008  16:48             4.576 AZU2554.tmp
04.04.2008  16:15            14.797 Operation Blitzsturm [found-on-www-bitreactor-to].torrent
04.04.2008  16:02            16.384 Perflib_Perfdata_ea8.dat
31.03.2008  21:53         2.661.492 vmmsi.log
31.03.2008  21:42            28.160 mso49.tmp
31.03.2008  21:38             8.192 vnetlib.config
31.03.2008  21:28            52.237 vminst.log_20080331_212809_Failed.log
31.03.2008  21:28         1.865.664 vmmsi.log_20080331_212809_Failed.log
31.03.2008  17:52           500.976 VPCInstallLog.txt
31.03.2008  17:50           910.080 msxml6-KB927977-enu-x86.exe
31.03.2008  17:50           167.424 1031.mst
31.03.2008  17:50        28.084.736 Virtual_PC_2007_Install.msi
29.03.2008  18:31               708 java_install_reg.log
29.03.2008  18:30                 0 java_install.log
29.03.2008  18:28             8.170 jinstall.cfg
29.03.2008  18:28           382.352 tmp.xpi
27.03.2008  23:56             2.577 Nero78d8f97499fd424d8c969c0ae30cf190.nrd
27.03.2008  11:12            20.954 Mai3C.tmp
25.03.2008  17:19            49.152 e8cf.rra
25.03.2008  17:11             2.597 Nero699697c24fee426f8184c1a933f6e97b.nrd
25.03.2008  16:47            16.384 Perflib_Perfdata_9d0.dat
25.03.2008  15:54                 0 NER4A.tmp
25.03.2008  15:54             4.096 BCG49.tmp
25.03.2008  15:54             4.096 BCG46.tmp
         

Alt 25.04.2008, 13:37   #10
BataAlexander
> MalwareDB
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
ATTFilter
Files to delete:
C:\OP_CACHE.IDX
C:\OP_CACHE.ATR
C:\WINXP\system32\OP_CACHE.IDX
C:\WINXP\system32\OP_CACHE.ATR
C:\WINXP\Prefetch\OP_CACHE.IDX
C:\WINXP\Prefetch\OP_CACHE.ATR
C:\WINXP\OP_CACHE.ATR
C:\WINXP\OP_CACHE.IDX
C:\WINXP\tasks\OP_CACHE.ATR
C:\WINXP\tasks\OP_CACHE.IDX
C:\WINXP\temp\OP_CACHE.IDX
C:\WINXP\temp\OP_CACHE.ATR
C:\DOKUME~1\Flo\LOKALE~1\Temp\OP_CACHE.IDX
C:\DOKUME~1\Flo\LOKALE~1\Temp\OP_CACHE.ATR
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag.

Geändert von BataAlexander (25.04.2008 um 13:45 Uhr)

Alt 25.04.2008, 14:04   #11
der Florian
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\OP_CACHE.IDX" deleted successfully.
File "C:\OP_CACHE.ATR" deleted successfully.
File "C:\WINXP\system32\OP_CACHE.IDX" deleted successfully.
File "C:\WINXP\system32\OP_CACHE.ATR" deleted successfully.
File "C:\WINXP\Prefetch\OP_CACHE.IDX" deleted successfully.
File "C:\WINXP\Prefetch\OP_CACHE.ATR" deleted successfully.

Error:  could not delete file "C:\WINXP\OP_CACHE.ATR"
Deletion of file "C:\WINXP\OP_CACHE.ATR" failed!
Status: 0xc0000035 (STATUS_OBJECT_NAME_COLLISION)
  --> another object exists already with the same name


Error:  could not delete file "C:\WINXP\OP_CACHE.IDX"
Deletion of file "C:\WINXP\OP_CACHE.IDX" failed!
Status: 0xc0000035 (STATUS_OBJECT_NAME_COLLISION)
  --> another object exists already with the same name

File "C:\WINXP\tasks\OP_CACHE.ATR" deleted successfully.
File "C:\WINXP\tasks\OP_CACHE.IDX" deleted successfully.
File "C:\WINXP\temp\OP_CACHE.IDX" deleted successfully.
File "C:\WINXP\temp\OP_CACHE.ATR" deleted successfully.
File "C:\DOKUME~1\Flo\LOKALE~1\Temp\OP_CACHE.IDX" deleted successfully.
File "C:\DOKUME~1\Flo\LOKALE~1\Temp\OP_CACHE.ATR" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
Die Systemstartereignisse und die Ordner im Thunderbird sind leider immer noch vorhanden....

Alt 25.04.2008, 14:20   #12
BataAlexander
> MalwareDB
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Lade bitte die angehängte Datei herunter und benenne sie in listfiles.bat um.
Dann doppelklicken.
Danach hast Du eine Datei listfiles.txt unter c: deren Inhalt hier bitte posten.

Alt 25.04.2008, 15:27   #13
der Florian
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Code:
ATTFilter
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 503B-C9F7
         
mehr steht nicht drin

Alt 25.04.2008, 15:35   #14
BataAlexander
> MalwareDB
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Dann mal bitte ein neues HJT Log.

Alt 25.04.2008, 15:36   #15
der Florian
 
OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Standard

OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....



Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:39:21, on 25.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\ZoneLabs\vsmon.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\system32\oodag.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\PnkBstrB.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINXP\system32\vmnat.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINXP\system32\vmnetdhcp.exe
C:\WINXP\Explorer.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINXP\system32\taskswitch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\WINXP\system32\oodtray.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINXP\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.www.daemon-search.com/default
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINXP\system32\taskswitch.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINXP\system32\oodtray.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINXP\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-18 Startup: OP_CACHE.ATR (User 'SYSTEM')
O4 - S-1-5-18 Startup: OP_CACHE.IDX (User 'SYSTEM')
O4 - .DEFAULT Startup: OP_CACHE.ATR (User 'Default user')
O4 - .DEFAULT Startup: OP_CACHE.IDX (User 'Default user')
O4 - Startup: OP_CACHE.ATR
O4 - Startup: OP_CACHE.IDX
O4 - Global Startup: OP_CACHE.ATR
O4 - Global Startup: OP_CACHE.IDX
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINXP\system32\PnkBstrB.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINXP\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINXP\system32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe

--
End of file - 10271 bytes
         

Antwort

Themen zu OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement....
adobe, antivir, antivir premium, avira, avira antivir premium, bho, booten, computer, excel, explorer, file, firefox, free download, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, launch, log, log file, löschen, mozilla, mozilla firefox, mozilla thunderbird, programme, regsvr32, software, stick, suche, systemstartelemente, teamspeak, windows, windows xp





Zum Thema OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... - Hallo zusammen! Habe leider bei der Suche im Internet nichts aussagekräftiges zu diesen 2 Systemstartelementen gefunden, die sich einfach im Autostart festgesetzt haben. Ich kann diese insgesammt 4 Systemstartelemente abwählen - OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.......
Archiv
Du betrachtest: OP_CACHE.ATR und OP_CACHE.IDX als Systemstartelement.... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.