www.peugeotforum.de

Moin,

ich habe ein Festplatte mit einer einzigen Partition ( C: ).

Gleich im ersten Hauptverzeichnis gibt es eine Textdatei Namens "goc". Dies ist eine Textdatei, die ich auch öffnen kann. Enthalten sind eine log-Daten. Ich weiß nicht von welchem Programm das ist. Mein Vireenscanner, Spyware etc. finden aber nichts.
Löschen lässt sich die Datei nicht.

Kann mir einer sagen, was das ist?

Anbei ein Screenshot. Ansich steht dort immer das gleiche. Es scheint bei jeden Start des PC's einen Eintrag zu machen.



Danke und Gruß´
Malte

ok ich hab mal bissel gegoogelt leider ohne erfolg oder ich hab falsch gegoogelt

für mich sieht das auch aus als würde versucht irgendwas mit admin rights zu starten...

gugg dir mal das:
http://www.userchannel.de/sonntagsseite ... newsID=186
da kannste jden zugriff auf die registry loggen vielleicht findst du da was
sowas gibt es auch für datein da kann man sehen welcher prozess auf welche datei zugreif:
http://www.sysinternals.com/Utilities/Filemon.html
einfach mal guggn und dann mal weiter sehen..
evtrl mal mit tcpview guggen ob du einen offenen listening port hast der da nich hingehört von einem bestimmen prozess...
ich würde aber erstmal auf online banking und solche scherze verzicheten bis es sich geklärt hat was das is

also anhand der logzeiten die da stehen sieht das für mich aus als würde da irgendwas beim systart geladen dass u.a. ein paar user aus der administratoren gruppe ausliest. nichts was dauerhaft unsinn macht.
so weit nix schlimmes. av software und co könnte man vermuten.

das allerdings keiner bei google und co was darüber gehört hat würd mich dann schon stuzig machen.

schau mal nach ob du im task manager prozesse hast die ähnlich lauten.
oder weitere dateien auf der platte in denen das goc oder ALW (das in dem log auftaucht) vorkommt. (taskmanager?)

schon mal die üblichen virenscan stinger adaware und co session laufen lassen?
gabs da was passendes?

würde ebenfalls davon absehen großartig private infos auf dem rechner zu öffnen oder einzugeben bis das klar ist.
was mir neu wäre dass viren mitloggen.
in welchem pfad liegt die datei?

wenn möglich ganz vom netz nehmen umd versand von infos auszuschließen.

Gruß,
Daniel

Schon mal danke für Eure Antworten.

Bisher bin ich noch nicht weitergekommen. Viren + Spywarescanner finden nichts. Virenscanner habe ich mal gelöscht. Der erstellt die log-Datei definitiv nicht.

Bei den Systemprozessen konnte ich keine Hinweise finden.

Interessant ist die Suche nach weiteren god-Dateien (siehe Screenshot unten). Auf dem oberen Teil sieht man das ursprüngliche Suchergebnis. Klicke ich dann so eine html-Datei an, geht wieder dieses Log-File (Textdatei) auf. Automatisch wird dann eine Kopie der goc-Datei erstellt (die im Verzeichnis "Recent").

Sind das hilfreiche Hinweise?

Google hilft mir überhaupt nicht weiter.

Gruß
Malte

im recent sind nur files die geöffnet wurden sind

hier poste mal dein hijackthis log

Chakky hat geschrieben:im recent sind nur files die geöffnet wurden sind

hier poste mal dein hijackthis log

Musste mir das Programm eben erstmal runterladen. Das solltden die gewünschten Infos sein. Sieht für mich recht unspektakulär aus:

Logfile of HijackThis v1.99.1
Scan saved at 21:46:32, on 29.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\OO Software\CleverCache\ooccag.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe
C:\Programme\OO Software\CleverCache\ooccctrl.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Sordey\Lokale Einstellungen\Temp\Rar$EX00.453\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AS00_Gear311T] C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe -hide
O4 - HKLM\..\Run: [ooccctrl.exe] C:\Programme\OO Software\CleverCache\ooccctrl.exe /tasktray
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6497581498
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

was ist das?

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6497581498

Sordey307 hat geschrieben:was ist das?

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6497581498

is glaub ich von ms irgend ein activx-element für windows-update. siehe link.

du kannst dieses file auch online checken lassen: http://www.hijackthis.de/de

einzige was mich stört wäre:

C:\WINDOWS\Explorer.EXE

warum is das EXE groß geschrieben? sonst ist da nix auffälliges meiner meinung nach

dieser cache cleaner deaktivier den mal und gugg mal ob da noch log files geschrieben werden (ich kann es net begründen is nur ein bauchgefühl raus)

C:\WINDOWS\System32\oodag.exe
C:\Programme\OO Software\CleverCache\ooccag.exe
C:\Programme\OO Software\CleverCache\ooccctrl.exe

dieser WC cache wäre das einzige was mich da auf anhieb stutzig macht.
aber wenn du dir sicher bist dass du ein solche programm verwendest, ok.

wie schauts denn mit dem ort an dem die datei liget?
ist die direkt unter c: oder wo liegt die goc.txt?

das mit der explorer exe ist schon etwas komisch,
aber mangesl anderer verdächtiger prozesse auch relativ irelevant meiner meinung nach.
kann mir nicht vorstellen dass sich irgendwer nur reineweg an die exp.exe hängt und nix anderes startet. zumal dass die am besten überwachte datei auf ner windows büchse sein dürfte ;-)