Hattest Du eine Software von Outpost/Agnitum auf dem Rechner?

Zitat:

Zitat von BataAlexander

Hattest Du eine Software von Outpost/Agnitum auf dem Rechner?

Ja, ich hatte die Outpost Firewall drauf, habe diese aber deinstalliert.

Das ist ein Rest davon, war ne Beta, daher kein Wunder, dass was bleibt.
Die Dateien sind keine Bedrohung im klassichen Sinn, laufen halt nur im geschützen Modus.

Lassen wir mal Blacklight suchen.

F-Secure Blacklight - Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Benennen die Datei um (Beispiel: test.com)
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Ich habe gescannt und laut dem Programm wurde nichts gefunden. Eine Datei wurd nirgends abgelegt....

Sophos Anti-RootKit

- Gehe zu Sophos - (Anleitung) und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
- Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
- Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
- Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
- Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.
(Thx to Argos)

Code: Alles auswählenAufklappen

ATTFilter

Sophos Anti-Rootkit Version 1.3.1 (data 1.08)  (c) 2006 Sophos Plc
Started logging on 25.04.2008 at 13:51:36
Stopped logging on 25.04.2008 at 13:55:51
         

Dann mal anders

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

Hi ... problem of line 04 or :
O4 - S-1-5-18 Startup: OP_CACHE.ATR (User 'SYSTEM')
O4 - S-1-5-18 Startup: OP_CACHE.IDX (User 'SYSTEM')
O4 - .DEFAULT Startup: OP_CACHE.ATR (User 'Default user')
O4 - .DEFAULT Startup: OP_CACHE.IDX (User 'Default user')
O4 - Startup: OP_CACHE.ATR
O4 - Startup: OP_CACHE.IDX
O4 - Global Startup: OP_CACHE.ATR
O4 - Global Startup: OP_CACHE.IDX
__________________________________
no corection in line 04