| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche LinksWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
13.01.2011, 20:43
| #1 |
 |  Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links Also ich glaube das Tool hat meinem PC nicht unbedingt gut getan. Zuerst lief das ComboFix wie geplant. Nach der Suche kam etwas über gefundene Rootkits und das neu gestartet werden müsse. Ich klickte auf OK doch nichts passierte. Desktopsymhole und Taskleiste sind verschwunden und man sah nur noch Mauszeiger und Hintergrundbild, doch es passierte nichts mehr. Nach 2,5 std. habe ich probiert über Task-Manager Neuzustarten. Doch dabei passierte auch nichts und nach diesem Versuch ging auch der Task-Manager nicht mehr auf. Also habe ich den PC ausgeschaltet und wieder eingeschaltet. Bevor nun Desktop Symbole und Taskleiste angezeigt wurden, machte ComboFix erneut einen Suchlauf. Diesmal öffnete er danach eine Logdatei und dann wurde alles andere wieder angezeigt. Zuerst war danach die CPU die ganze Zeit auf 50% und alles war sehr langsam, was schade war, denn nach dem ganzen Temp Ordner leeren durch CCleaner war der PC wieder unfassbar schnell geworden. Außerdem konnte man keine Internetseiten öffnen. Jetzt scheint aber wieder alles zu funktionieren: CPU normal und Internet klappt auch. hier mein Log: Combofix Logfile: Code:
ATTFilter ComboFix 11-01-12.04 - Thomas 13.01.2011 19:14:00.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.677 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
* Im Speicher befindliches AV aktiv.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Microsoft
c:\dokumente und einstellungen\All Users\Microsoft\OfficeSoftwareProtectionPlatform\Cache\cache.dat
c:\dokumente und einstellungen\All Users\Microsoft\OfficeSoftwareProtectionPlatform\tokens.dat
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\08817a2b7919c7f9db17c934e961209a.avi.ddr
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\3.ddi
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\4.ddi
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\settings.ddi
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(2).ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(3).ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(4).ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(5).ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(6).ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\08817a2b7919c7f9db17c934e961209a.avi.ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\Waynes.World.GERMAN.1992.DVDRiP.XviD.iNTERNAL_REQiT.avi.ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Waynes.World.GERMAN.1992.DVDRiP.XviD.iNTERNAL_REQiT.avi.ddr
c:\windows\system32\AVSredirect.dll
c:\windows\system32\Inetde.dll
E:\install.exe
.
((((((((((((((((((((((( Dateien erstellt von 2010-12-13 bis 2011-01-13 ))))))))))))))))))))))))))))))
.
2011-01-13 14:52 . 2011-01-13 14:52 -------- d-----w- c:\programme\CCleaner
2011-01-13 13:02 . 2011-01-13 13:02 -------- d-----w- C:\_OTL
2011-01-11 23:26 . 2011-01-11 23:26 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Malwarebytes
2011-01-11 23:26 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-11 23:26 . 2011-01-11 23:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-11 23:26 . 2011-01-11 23:26 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-01-11 23:26 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-01-11 22:23 . 2011-01-11 22:43 -------- d-----w- c:\windows\BDOSCAN8
2011-01-11 16:03 . 2011-01-13 15:06 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Media Player Classic
2011-01-09 20:50 . 2009-05-18 12:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2011-01-09 20:50 . 2008-04-17 11:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2011-01-09 20:44 . 2011-01-09 20:45 -------- d-----w- c:\programme\QuickTime
2011-01-06 03:21 . 2011-01-06 03:21 -------- d-----w- c:\dokumente und einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Conduit
2011-01-06 01:30 . 2011-01-06 16:37 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\vlc
2011-01-04 21:50 . 2004-02-22 09:11 719872 ----a-w- c:\windows\system32\devil.dll
2011-01-04 21:50 . 2011-01-04 21:50 -------- d-----w- c:\programme\AviSynth 2.5
2011-01-04 21:50 . 2009-09-27 08:39 369152 ----a-w- c:\windows\system32\avisynth.dll
2011-01-04 21:50 . 2004-01-24 23:00 70656 ----a-w- c:\windows\system32\yv12vfw.dll
2011-01-04 21:50 . 2004-01-24 23:00 70656 ----a-w- c:\windows\system32\i420vfw.dll
2011-01-04 21:29 . 2011-01-11 16:19 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\DVDVideoSoft
2011-01-03 21:44 . 2011-01-03 21:50 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\avidemux
2011-01-03 21:29 . 2011-01-03 21:29 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\XMedia Recode
2010-12-30 19:05 . 2011-01-09 22:38 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Audacity
2010-12-29 17:49 . 2010-12-29 17:49 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Apple Computer
2010-12-29 17:46 . 2001-08-18 03:54 5632 ----a-w- c:\windows\system32\ptpusb.dll
2010-12-29 17:46 . 2008-04-14 06:52 159232 ----a-w- c:\windows\system32\ptpusd.dll
2010-12-29 17:46 . 2008-04-13 23:15 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2010-12-29 17:46 . 2008-04-13 23:15 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-12-27 14:06 . 2010-12-27 14:06 -------- d-----w- c:\dokumente und einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2010-12-25 01:34 . 2010-12-25 01:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2010-12-25 01:01 . 2010-12-25 01:02 -------- d-----w- c:\programme\MonitorDriver
2010-12-25 01:01 . 2010-12-25 01:01 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\InstallShield
2010-12-24 16:10 . 2010-12-24 16:10 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\TuneUp Software
2010-12-24 16:09 . 2011-01-06 01:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2010-12-24 16:08 . 2010-12-24 16:08 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-12-23 13:06 . 2010-12-23 13:06 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2010-12-22 23:44 . 2010-12-22 23:44 -------- d-----w- c:\windows\Sun
2010-12-21 16:43 . 2010-12-21 16:43 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2010-12-17 00:33 . 2010-12-28 00:31 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\CyberLink
2010-12-15 20:32 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2010-12-15 20:29 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2010-12-15 02:21 . 2010-12-15 02:21 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Ahead
2010-12-15 02:21 . 2010-12-15 02:21 -------- d-----w- c:\dokumente und einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Ahead
2010-12-15 02:17 . 2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
2010-12-15 02:15 . 2010-12-15 02:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero
2010-12-15 02:12 . 2005-09-07 16:08 3006464 ------w- c:\windows\UNNeroVision.exe
2010-12-15 02:12 . 2001-03-08 18:30 24064 ------w- c:\windows\system32\msxml3a.dll
2010-12-15 02:11 . 2010-12-15 02:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2010-12-15 02:11 . 2004-07-09 08:43 364544 ------w- c:\windows\system32\TwnLib4.dll
2010-12-15 02:11 . 2004-07-26 16:16 471040 ------w- c:\windows\system32\ImagXRA7.dll
2010-12-15 02:11 . 2004-07-26 16:16 262144 ------w- c:\windows\system32\ImagXR7.dll
2010-12-15 02:11 . 2004-07-26 16:16 476320 ------w- c:\windows\system32\ImagXpr7.dll
2010-12-15 02:11 . 2004-07-26 16:16 1568768 ------w- c:\windows\system32\ImagX7.dll
2010-12-15 02:11 . 2001-06-26 07:15 38912 ------w- c:\windows\system32\picn20.dll
2010-12-15 02:11 . 2000-06-26 10:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll
2010-12-15 02:11 . 2010-12-15 02:11 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2010-12-15 02:11 . 2010-12-15 02:17 -------- d-----w- c:\programme\Ahead
2010-12-14 21:22 . 2011-01-10 23:28 -------- d-----w- c:\programme\Mediafour
2010-12-14 21:19 . 2010-12-14 21:19 -------- d-----w- C:\WebCD
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-23 13:03 . 2010-12-11 21:24 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-12 14:38 . 2010-12-12 14:38 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-12-12 14:38 . 2010-12-12 14:38 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-12-11 17:23 . 2010-12-11 17:23 21035 ----a-w- c:\windows\system32\drivers\AegisP.sys
2010-11-30 17:13 . 2010-12-11 21:24 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-29 16:38 . 2010-11-29 16:38 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38 69632 ----a-w- c:\windows\system32\QuickTime.qts
2010-11-18 18:12 . 2010-12-11 16:41 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-16 22:41 . 2010-11-16 22:41 323624 ----a-w- c:\windows\system32\wiaaut.dll
2010-11-12 00:44 . 2010-11-12 00:44 94208 ----a-w- c:\windows\system32\dpl100.dll
2010-11-09 14:51 . 2004-08-04 12:00 249856 ----a-w- c:\windows\system32\odbc32.dll
2010-11-08 22:57 . 2010-11-08 22:57 353592 ----a-w- c:\windows\system32\DivXControlPanelApplet.cpl
2010-11-06 00:21 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-04 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-04 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2004-08-04 12:00 385024 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2004-08-04 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2004-08-04 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2004-08-04 12:00 1853440 ----a-w- c:\windows\system32\win32k.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2010-07-11 2199040]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"nwiz"="nwiz.exe" [2009-02-18 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-30 281768]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-29 421888]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Launchy.lnk - c:\programme\Launchy\Launchy.exe [2010-12-12 380928]
Wireless LAN Utility.lnk - c:\programme\LevelOne WNC-0301\WlanCU.exe [2007-11-28 626688]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TVESched"=2 (0x2)
"TVECapSvc"=2 (0x2)
"TuneUp.UtilitiesSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"RichVideo"=2 (0x2)
"osppsvc"=3 (0x3)
"ose"=3 (0x3)
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"MacDrive8Service"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"
"PlayMovie"="c:\programme\CyberLink\PlayMovie\PMVService.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\CyberLink\\TV Enhance\\TVEnhance.exe"=
"c:\\Programme\\CyberLink\\TV Enhance\\TVEService.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
R1 LWMouCon;LWMouCon;c:\windows\system32\drivers\LWMOUCON.sys [06.10.2010 16:54 33168]
R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\programme\CyberLink\PlayMovie\000.fcl [13.12.2010 21:18 61424]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.12.2010 22:24 135336]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\programme\Microsoft Office\Office14\GROOVE.EXE [25.03.2010 10:25 30969208]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 21:37 4640000]
S4 TVECapSvc;TVEnhance Background Capture Service (TBCS);c:\programme\CyberLink\TV Enhance\Kernel\TV\TVECapSvc.exe [13.12.2010 21:23 364635]
S4 TVESched;TVEnhance Task Scheduler (TTS));c:\programme\CyberLink\TV Enhance\Kernel\TV\TVESched.exe [13.12.2010 21:23 172121]
.
Inhalt des "geplante Tasks" Ordners
2011-01-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: add to &BOM - c:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Free YouTube Download - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\z2dunjtc.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Personas: personas@christopher.beard - %profile%\extensions\personas@christopher.beard
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\programme\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\programme\DivX\DivX Plus Web Player\firefox\wpa
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-13 19:41
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\programme\CyberLink\PlayMovie\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1960408961-261478967-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A3A4A4C4-EA81-1CB2-0472-9F85E48460A3}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oahcaoaheicilamljemphaompknlne"=hex:6b,61,6f,6a,61,6f,68,6b,65,67,65,66,70,66,
6f,68,66,69,62,6b,6b,65,00,7c
"nafdoljdofplhlkikkmhleefibgg"=hex:69,61,61,6b,65,61,63,6c,6d,6f,6f,63,6c,66,
68,6a,6a,66,00,00
"oahcaoaheicilamljemphaomelglkh"=hex:6a,61,6f,6a,65,6f,64,6d,63,70,68,70,65,67,
61,6e,63,6e,63,6a,00,54
"nafdoljdofplhlkikkmhledfdcpn"=hex:6a,61,6f,6a,65,6f,64,6d,63,70,68,70,65,67,
61,6e,63,6e,63,6a,00,54
"fbgfldiheeoafdkmfckphcapmccglhfieajafnogpdnm"=hex:61,61,00,00
"abdfpgkmfafnpppbhnkhhkenkgemnoidpd"=hex:61,61,00,00
[HKEY_USERS\S-1-5-21-1960408961-261478967-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F39E3D89-F213-4B36-8BF4-9EF6F673405A}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oajmjibdogjidfoomigkkoopcnokde"=hex:6a,61,61,68,6c,66,65,65,68,69,67,68,67,6b,
6b,6f,69,66,61,65,00,f5
"napmphmgofenhknjahkgnkegailc"=hex:6a,61,61,68,6c,66,65,65,68,69,67,68,67,6b,
6b,6f,69,66,61,65,00,f5
"gbbldpjohbfikdlkjmclphjnojlhaekalibnndceiamocj"=hex:67,61,68,68,61,6a,68,6b,
6b,61,64,68,70,62,00,00
"bbhkgfdoniafkgkbcbhkkoplabdclocmmkkp"=hex:69,61,61,6f,63,6e,6a,65,67,68,6d,63,
6b,62,6f,6b,6a,61,00,00
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(900)
c:\windows\SYSTEM32\Wireless\WirelessGina.DLL
.
Zeit der Fertigstellung: 2011-01-13 19:48:24
ComboFix-quarantined-files.txt 2011-01-13 18:48
Vor Suchlauf: 11 Verzeichnis(se), 51.580.637.184 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 51.543.187.456 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - B7436CB8D399DEBBDB9E112EF7191FA9
oh nein, Microsoft Office funktioniert auch nicht mehr. Er meint er könne die Lizenz nicht überprüfen. Geändert von Benwick (13.01.2011 um 20:58 Uhr) |
|
| Themen zu Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links |
| .com, antivir, antivir guard, avira, bho, bonjour, browser, converter, dateien gelöscht, desktop, festplatte, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet explorer, mozilla, mp3, plug-in, senden, software, system, taskmanager, trojaner, viren, windows, windows xp |
Hybrid-Darstellung
