Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.01.2011, 21:47   #1
Benwick
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



Hallo Community,

ich wollte mir eigentlich Transmac runterladen um eine Macformatierte Festplatte in Windows zu lesen. Allerdings tat sich beim öffnen der .exe Datei nichts, außer, dass sich der Internet Explorer dauernd öffnete und Firefox Links bei der google Suche komplett falsch öffnete. Es wurden keine richtigen Seiten geöffnet.
Dann habe ich herausgefunden, dass im Taskmanager mir unbekannte Prozesse geöffnet waren:
hcw.exe, hcx.exe, hcy.exe, hdodia.exe. AntiVir hat sie nicht als Viren bzw. Trojaner erkannt!
Diese befanden sich unter C:\Dokumente und Einstellungen\***\Lokale Enstellungen\Temp. Die Dateien hatten etwas von Windows API und Avira Gmbh Extrim in den Eigenschaften stehen.
Ich habe diese Dateien gelöscht und zuerst lief es besser. Doch es kommt immer noch des öfteren vor, dass Firefox Werbeseiten statt die richten Links bei Google öffnet.
Komme ich dran herum den PC neu aufzusetzen? Hier mein HijackThis log:

HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:34:33, on 11.01.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\LevelOne WNC-0301\WlanCUGina.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Launchy\Launchy.exe
C:\Programme\LevelOne WNC-0301\WlanCU.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Launchy.lnk = C:\Programme\Launchy\Launchy.exe
O4 - Global Startup: Wireless LAN Utility.lnk = C:\Programme\LevelOne WNC-0301\WlanCU.exe
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7594 bytes
         
--- --- ---


Schonmal Danke für euere Hilfe.
Viele Grüße
Brian

Alt 12.01.2011, 00:02   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 12.01.2011, 00:57   #3
Benwick
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



Hier mein Malwarebyte log:

Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5505

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.01.2011 00:39:24
mbam-log-2011-01-12 (00-39-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 138496
Laufzeit: 8 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas21.dll (Trojan.FraudPack.Gen) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\D9L83679SM (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\sshnas21.dll (Trojan.FraudPack.Gen) -> Delete on reboot.
c:\WINDOWS\FRODEV (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
Und OTL:
OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 12.01.2011 00:42:01 - Run 1
OTL by OldTimer - Version 3.2.20.1     Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 394,00 Mb Available Physical Memory | 39,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 47,94 Gb Free Space | 20,59% Space Free | Partition Type: NTFS
Drive D: | 149,05 Gb Total Space | 44,77 Gb Free Space | 30,04% Space Free | Partition Type: NTFS
Drive E: | 149,05 Gb Total Space | 66,77 Gb Free Space | 44,80% Space Free | Partition Type: NTFS
Drive F: | 465,76 Gb Total Space | 0,01 Gb Free Space | 0,00% Space Free | Partition Type: NTFS
Drive H: | 31,22 Mb Total Space | 20,19 Mb Free Space | 64,66% Space Free | Partition Type: FAT
Drive L: | 1,91 Gb Total Space | 0,91 Gb Free Space | 47,33% Space Free | Partition Type: FAT
 
Computer Name: FOMA | User Name: ***| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ.exe -- (ICQ, LLC.)
"C:\Programme\CyberLink\TV Enhance\TVEnhance.exe" = C:\Programme\CyberLink\TV Enhance\TVEnhance.exe:*:Enabled:CyberLink TVEnhance -- (CyberLink Corp.)
"C:\Programme\CyberLink\TV Enhance\TVEService.exe" = C:\Programme\CyberLink\TV Enhance\TVEService.exe:*:Enabled:CyberLink TVEnhance Resident Program -- (CyberLink Corp.)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ.exe -- (ICQ, LLC.)
"C:\Programme\Microsoft Office\Office14\GROOVE.EXE" = C:\Programme\Microsoft Office\Office14\GROOVE.EXE:*:Enabled:Microsoft SharePoint Workspace -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office14\ONENOTE.EXE" = C:\Programme\Microsoft Office\Office14\ONENOTE.EXE:*:Enabled:Microsoft OneNote -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office14\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office14\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\Programme\CyberLink\TV Enhance\TVEnhance.exe" = C:\Programme\CyberLink\TV Enhance\TVEnhance.exe:*:Enabled:CyberLink TVEnhance -- (CyberLink Corp.)
"C:\Programme\CyberLink\TV Enhance\TVEService.exe" = C:\Programme\CyberLink\TV Enhance\TVEService.exe:*:Enabled:CyberLink TVEnhance Resident Program -- (CyberLink Corp.)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{04AF207D-9A77-465A-8B76-991F6AB66245}" = Adobe Help Viewer CS3
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{08B32819-6EEF-4057-AEDA-5AB681A36A23}" = Adobe Bridge Start Meeting
"{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}" = Adobe WinSoft Linguistics Plugin
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = CyberLink PowerCinema
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 22
"{29E5EA97-5F74-4A57-B8B2-D4F169117183}" = Adobe Stock Photos CS3
"{29F05234-DCBB-4FE0-88DC-5160C9250312}" = Adobe Photoshop CS3
"{2A981294-F14C-4F0F-9627-D793270922F8}" = Bonjour
"{308B6AEA-DE50-4666-996D-0FA461719D6B}" = Apple Mobile Device Support
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{39350A99-75A4-4FD5-8E68-37D4C92F73D2}" = LevelOne 11g Wireless LAN Card
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{54793AA1-5001-42F4-ABB6-C364617C6078}" = Adobe Linguistics CS3
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{639673E9-D53F-44F4-A046-485C8A6ADA15}" = Paint.NET v3.5.6
"{6ABE0BEE-D572-4FE8-B434-9E72A289431B}" = Adobe Fonts All
"{6DB7AD00-F781-11DF-9EEF-001279CD8240}" = Google Earth
"{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}" = Adobe Asset Services CS3
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{73B5D990-04EA-4751-B10F-5534770B91F2}" = Adobe Color EU Recommended Settings
"{802771A9-A856-4A41-ACF7-1450E523C923}" = Adobe XMP Panels CS3
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{881F5DE8-9367-4B81-A325-E91BBC6472F9}" = iTunes
"{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}" = Adobe Device Central CS3
"{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}" = Adobe Type Support
"{8EA79DBF-D637-448A-89D6-410A087A4493}" = Samsung_MonSetup
"{90140000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 14
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2010
"{90176341-0A8B-4CCC-A78D-F862228A6B95}" = Adobe Anchor Service CS3
"{91140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{9C9824D9-9000-4373-A6A5-D0E5D4831394}" = Adobe Bridge CS3
"{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}" = Adobe CMaps
"{A2D81E70-2A98-4A08-A628-94388B063C5E}" = Adobe Color - Photoshop Specific
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}" = PDF Settings
"{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X - Deutsch
"{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}" = Adobe Camera Raw 4.0
"{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}" = Adobe Default Language CS3
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}" = Adobe ExtendScript Toolkit 2
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0DFF92A-492E-4C40-B862-A74A173C25C5}" = Adobe Version Cue CS3 Client
"{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}" = Adobe PDF Library Files
"{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}" = Adobe Color Common Settings
"{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}" = Adobe Color JA Extra Settings
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0
"{E69AE897-9E0B-485C-8552-7841F48D42D8}" = Adobe Update Manager CS3
"{E94DD4E4-7746-472c-AA7B-1242FED0CFC8}" = Lightworks
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{F01F79AD-1F47-4685-AE4E-CCFA4EA9FF7C}" = Adobe Setup
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F266A90C-3F4A-4F65-9901-3DBBB0D77D80}" = LevelOne WNC-0301
"{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}" = Adobe Color NA Extra Settings
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"7-Zip" = 7-Zip 9.20
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe_5f143314a5d434c8511097393d17397" = Adobe Photoshop CS3
"Ahnenblatt_is1" = Ahnenblatt 2.62
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.12 (Unicode)
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Biet-O-Matic v2.14.8" = Biet-O-Matic v2.14.8
"CD Art Display_is1" = CD Art Display 2.0.1
"DivX Setup.divx.com" = DivX-Setup
"FileZilla Client" = FileZilla Client 3.3.5.1
"Free Studio_is1" = Free Studio version 5.0.3
"Frets on Fire" = Frets On Fire
"GeoGebra" = GeoGebra
"Guitar Pro 5_is1" = Guitar Pro 5.2
"ie8" = Windows Internet Explorer 8
"InstallShield_{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = CyberLink PowerCinema
"InstallShield_{F266A90C-3F4A-4F65-9901-3DBBB0D77D80}" = LevelOne WNC-0301
"IrfanView" = IrfanView (remove only)
"Launchy_21344213_is1" = Launchy 2.5
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Matrox VFW Software Codecs" = Matrox VFW Software Codecs, build 28 
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MozBackup" = MozBackup 1.4.10
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NVIDIA Drivers" = NVIDIA Drivers
"Nvu_is1" = Nvu 1.0
"Office14.PROPLUSR" = Microsoft Office Professional Plus 2010
"Picasa 3" = Picasa 3
"Rainlendar2" = Rainlendar2 (remove only)
"ScummVM_is1" = ScummVM 1.2.0
"Sweepi_is1" = Sweepi 5.4.00
"TIPP10_is1" = TIPP10 Version 2.0.3
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.1.5
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.11
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 18.12.2010 06:58:01 | Computer Name = FOMA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung nerostartsmart.exe, Version 2.1.0.1, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x03ab787e.
 
Error - 20.12.2010 08:35:45 | Computer Name = FOMA | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 20.12.2010 18:37:07 | Computer Name = FOMA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung kill.exe, Version 5.0.2134.1, fehlgeschlagenes
 Modul kill.exe, Version 5.0.2134.1, Fehleradresse 0x000015b1.
 
Error - 20.12.2010 18:39:33 | Computer Name = FOMA | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 20.12.2010 18:43:16 | Computer Name = FOMA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung kill.exe, Version 5.0.2134.1, fehlgeschlagenes
 Modul kill.exe, Version 5.0.2134.1, Fehleradresse 0x000015b1.
 
Error - 21.12.2010 08:58:03 | Computer Name = FOMA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung kill.exe, Version 5.0.2134.1, fehlgeschlagenes
 Modul kill.exe, Version 5.0.2134.1, Fehleradresse 0x000015b1.
 
Error - 21.12.2010 08:59:36 | Computer Name = FOMA | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 21.12.2010 09:01:24 | Computer Name = FOMA | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 21.12.2010 09:02:15 | Computer Name = FOMA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung kill.exe, Version 5.0.2134.1, fehlgeschlagenes
 Modul kill.exe, Version 5.0.2134.1, Fehleradresse 0x000015b1.
 
Error - 21.12.2010 17:30:52 | Computer Name = FOMA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung CAD.exe, Version 2.0.0.0, Stillstandmodul 
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 11.01.2011 19:44:46 | Computer Name = FOMA | Source = LWMouCon | ID = 458771
Description = Unable to locate serial port for console
 
Error - 11.01.2011 19:44:51 | Computer Name = FOMA | Source = LWMouCon | ID = 458771
Description = Unable to locate serial port for console
 
Error - 11.01.2011 19:44:57 | Computer Name = FOMA | Source = LWMouCon | ID = 458771
Description = Unable to locate serial port for console
 
Error - 11.01.2011 19:45:02 | Computer Name = FOMA | Source = LWMouCon | ID = 458771
Description = Unable to locate serial port for console
 
Error - 11.01.2011 19:45:07 | Computer Name = FOMA | Source = LWMouCon | ID = 458771
Description = Unable to locate serial port for console
 
Error - 11.01.2011 19:45:13 | Computer Name = FOMA | Source = LWMouCon | ID = 458771
Description = Unable to locate serial port for console
 
Error - 11.01.2011 19:45:18 | Computer Name = FOMA | Source = LWMouCon | ID = 458771
Description = Unable to locate serial port for console
 
Error - 11.01.2011 19:45:24 | Computer Name = FOMA | Source = LWMouCon | ID = 458771
Description = Unable to locate serial port for console
 
Error - 11.01.2011 19:45:29 | Computer Name = FOMA | Source = LWMouCon | ID = 458771
Description = Unable to locate serial port for console
 
Error - 11.01.2011 19:45:35 | Computer Name = FOMA | Source = LWMouCon | ID = 458771
Description = Unable to locate serial port for console
 
 
< End of report >
         
--- --- ---


Und das 2. OTL Log:
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 12.01.2011 00:42:01 - Run 1
OTL by OldTimer - Version 3.2.20.1     Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 394,00 Mb Available Physical Memory | 39,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 47,94 Gb Free Space | 20,59% Space Free | Partition Type: NTFS
Drive D: | 149,05 Gb Total Space | 44,77 Gb Free Space | 30,04% Space Free | Partition Type: NTFS
Drive E: | 149,05 Gb Total Space | 66,77 Gb Free Space | 44,80% Space Free | Partition Type: NTFS
Drive F: | 465,76 Gb Total Space | 0,01 Gb Free Space | 0,00% Space Free | Partition Type: NTFS
Drive H: | 31,22 Mb Total Space | 20,19 Mb Free Space | 64,66% Space Free | Partition Type: FAT
Drive L: | 1,91 Gb Total Space | 0,91 Gb Free Space | 47,33% Space Free | Partition Type: FAT
 
Computer Name: FOMA | User Name: ***| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Rainlendar2\Rainlendar2.exe ()
PRC - C:\Programme\Launchy\Launchy.exe ()
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\LevelOne WNC-0301\WlanCU.exe ()
PRC - C:\Programme\LevelOne WNC-0301\WlanCUGina.exe ()
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (SSHNAS) --  File not found
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (Microsoft SharePoint Workspace Audit Service) -- C:\Programme\Microsoft Office\Office14\GROOVE.EXE (Microsoft Corporation)
SRV - (osppsvc) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (TVECapSvc) TVEnhance Background Capture Service (TBCS) -- C:\Programme\CyberLink\TV Enhance\Kernel\TV\TVECapSvc.exe ()
SRV - (TVESched) TVEnhance Task Scheduler (TTS)) -- C:\Programme\CyberLink\TV Enhance\Kernel\TV\TVESched.exe ()
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (Macrovision Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (LWMouCon) -- C:\WINDOWS\System32\drivers\lwmoucon.ram ()
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - ({49DE1C67-83F8-4102-99E0-C16DCC7EEC796}) -- C:\Programme\CyberLink\PlayMovie\000.fcl (Cyberlink Corp.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (nvata) -- C:\WINDOWS\system32\DRIVERS\nvata.sys (NVIDIA Corporation)
DRV - (irsir) -- C:\WINDOWS\system32\drivers\irsir.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "foxsearch"
FF - prefs.js..browser.search.order.1: "foxsearch"
FF - prefs.js..browser.search.selectedEngine: "foxsearch"
FF - prefs.js..extensions.enabledItems: firesheep@codebutler.com:0.1
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.1.10
FF - prefs.js..keyword.URL: "hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
 
FF - user.js..browser.search.selectedEngine: "foxsearch"
FF - user.js..browser.search.order.1: "foxsearch"
FF - user.js..browser.search.defaultenginename: "foxsearch"
FF - user.js..keyword.URL: "hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
 
FF - HKLM\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\html5video [2010.12.12 20:05:03 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Programme\DivX\DivX Plus Web Player\firefox\wpa [2010.12.12 20:05:04 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.01.09 21:46:02 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.01.09 21:46:00 | 000,000,000 | ---D | M]
 
[2010.12.12 12:45:23 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.12.12 13:11:16 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\extensions
[2010.12.12 13:11:05 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.01.06 04:21:29 | 000,000,000 | ---D | M] (DVDVideoSoftTB Toolbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2010.12.12 13:11:05 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.12.12 13:11:05 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
[2010.12.12 13:11:04 | 000,000,000 | ---D | M] (Firesheep) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\extensions\firesheep@codebutler.com
[2011.01.11 21:39:12 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z2dunjtc.default\extensions
[2010.12.14 23:06:18 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z2dunjtc.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.12.12 13:17:38 | 000,000,000 | ---D | M] (Personas) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z2dunjtc.default\extensions\personas@christopher.beard
[2010.11.17 19:09:58 | 000,002,122 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\searchplugins\chip-online-suche.xml
[2009.11.14 15:06:20 | 000,000,938 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\searchplugins\facebook.xml
[2010.12.06 19:30:04 | 000,001,684 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\searchplugins\kill-them-allde.xml
[2010.04.04 22:26:10 | 000,003,171 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\searchplugins\kinoto.xml
[2009.09.06 19:17:42 | 000,001,672 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\searchplugins\leo-deu-ita.xml
[2009.05.14 15:37:06 | 000,002,030 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\searchplugins\myvideo-suche-.xml
[2008.03.16 17:10:08 | 000,001,406 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\searchplugins\siteadvisor.gif
[2008.03.16 17:10:08 | 000,000,276 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\searchplugins\siteadvisor.src
[2008.03.16 16:42:18 | 000,002,386 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\searchplugins\siteadvisor.xml
[2010.01.25 15:50:04 | 000,005,601 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\searchplugins\that-70s-wiki-en.xml
[2008.06.22 19:34:52 | 000,001,108 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\searchplugins\wikipedia-en.xml
[2009.04.25 23:19:22 | 000,000,945 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\t84fe0oj.default\searchplugins\youtube-videosuche.xml
[2011.01.11 23:48:56 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.12.12 15:38:25 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.12.12 15:38:11 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.12.03 19:14:08 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.12.03 19:14:08 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.12.03 19:14:08 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.12.03 19:14:08 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.12.03 19:14:08 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKCU..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe ()
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Launchy.lnk = C:\Programme\Launchy\Launchy.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Wireless LAN Utility.lnk = C:\Programme\LevelOne WNC-0301\WlanCU.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta ()
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: An OneNote s&enden - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - C:\Programme\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (BDSCANONLINE Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: GinaDLL - (C:\WINDOWS\SYSTEM32\Wireless\WirelessGina.DLL) - C:\WINDOWS\system32\Wireless\WirelessGina.DLL ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.12.11 17:44:55 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\N\Shell - "" = AutoRun
O33 - MountPoints2\N\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\N\Shell\AutoRun\command - "" = N:\Setupx.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.01.12 00:26:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2011.01.12 00:26:18 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.01.12 00:26:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.01.12 00:26:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.01.12 00:26:09 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.01.12 00:26:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.01.11 23:23:39 | 000,000,000 | ---D | C] -- C:\WINDOWS\BDOSCAN8
[2011.01.11 23:23:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2011.01.11 17:11:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\NeroVision
[2011.01.11 17:03:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Media Player Classic
[2011.01.11 00:27:56 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2011.01.10 22:23:51 | 000,328,704 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\sshnas21.dll
[2011.01.09 21:50:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\iTunes
[2011.01.09 21:50:22 | 000,107,368 | ---- | C] (GEAR Software Inc.) -- C:\WINDOWS\System32\GEARAspi.dll
[2011.01.09 21:46:49 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2011.01.09 21:46:41 | 000,000,000 | ---D | C] -- C:\Programme\iTunes
[2011.01.09 21:45:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\QuickTime
[2011.01.09 21:44:09 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2011.01.06 04:21:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Conduit
[2011.01.06 02:30:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc
[2011.01.06 02:30:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\VideoLAN
[2011.01.04 22:50:18 | 000,719,872 | ---- | C] (Abysmal Software) -- C:\WINDOWS\System32\devil.dll
[2011.01.04 22:50:17 | 000,369,152 | ---- | C] (The Public) -- C:\WINDOWS\System32\avisynth.dll
[2011.01.04 22:50:17 | 000,070,656 | ---- | C] (www.helixcommunity.org) -- C:\WINDOWS\System32\yv12vfw.dll
[2011.01.04 22:50:17 | 000,070,656 | ---- | C] (www.helixcommunity.org) -- C:\WINDOWS\System32\i420vfw.dll
[2011.01.04 22:50:17 | 000,000,000 | ---D | C] -- C:\Programme\AviSynth 2.5
[2011.01.04 22:39:39 | 000,278,528 | ---- | C] (Real Networks, Inc) -- C:\WINDOWS\System32\pncrt.dll
[2011.01.04 22:29:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoft
[2011.01.03 22:53:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\profiles
[2011.01.03 22:44:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\avidemux
[2011.01.03 22:29:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\XMedia Recode
[2011.01.03 22:12:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XMedia Recode
[2010.12.31 08:52:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\kappet1_data
[2010.12.31 08:38:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\kappet_data
[2010.12.30 20:05:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Audacity
[2010.12.29 18:49:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Apple Computer
[2010.12.29 18:46:25 | 000,005,632 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\ptpusb.dll
[2010.12.29 18:46:23 | 000,159,232 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\ptpusd.dll
[2010.12.29 18:46:22 | 000,015,104 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbscan.sys
[2010.12.27 15:06:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
[2010.12.25 02:34:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
[2010.12.25 02:01:48 | 000,000,000 | ---D | C] -- C:\Programme\MonitorDriver
[2010.12.25 02:01:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield
[2010.12.24 17:10:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software
[2010.12.24 17:09:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2010.12.24 17:08:34 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2010.12.23 00:44:44 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun
[2010.12.21 17:43:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
[2010.12.18 18:32:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\ICQ
[2010.12.17 01:33:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\CyberLink
[2010.12.15 21:32:00 | 000,040,960 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ndproxy.sys
[2010.12.15 21:29:35 | 000,045,568 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wab.exe
[2010.12.15 03:21:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ahead
[2010.12.15 03:21:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Ahead
[2010.12.15 03:17:04 | 000,155,648 | ---- | C] (Ahead Software Gmbh) -- C:\WINDOWS\System32\NeroCheck.exe
[2010.12.15 03:15:04 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Nero
[2010.12.15 03:14:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Nero
[2010.12.15 03:12:43 | 003,006,464 | ---- | C] (Nero AG) -- C:\WINDOWS\UNNeroVision.exe
[2010.12.15 03:12:42 | 000,024,064 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msxml3a.dll
[2010.12.15 03:11:38 | 000,364,544 | ---- | C] (Pegasus Imaging Corp.) -- C:\WINDOWS\System32\TwnLib4.dll
[2010.12.15 03:11:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
[2010.12.15 03:11:37 | 000,471,040 | ---- | C] (Pegasus Imaging Corp.) -- C:\WINDOWS\System32\ImagXRA7.dll
[2010.12.15 03:11:37 | 000,262,144 | ---- | C] (Pegasus Imaging Corp.) -- C:\WINDOWS\System32\ImagXR7.dll
[2010.12.15 03:11:36 | 001,568,768 | ---- | C] (Pegasus Imaging Corp.) -- C:\WINDOWS\System32\ImagX7.dll
[2010.12.15 03:11:36 | 000,476,320 | ---- | C] (Pegasus Imaging Corp.) -- C:\WINDOWS\System32\ImagXpr7.dll
[2010.12.15 03:11:34 | 000,106,496 | ---- | C] (Pegasus Software) -- C:\WINDOWS\System32\TwnLib20.dll
[2010.12.15 03:11:34 | 000,038,912 | ---- | C] (Pegasus Imaging Corp.) -- C:\WINDOWS\System32\picn20.dll
[2010.12.15 03:11:14 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Ahead
[2010.12.15 03:11:12 | 000,000,000 | ---D | C] -- C:\Programme\Ahead
[2010.12.15 02:52:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Edit - Edit #1.Archive
[2010.12.15 02:50:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Reportage Rohfassung.Archive
[2010.12.14 23:24:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\ReportageMo
[2010.12.14 22:29:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Reportagen
[2010.12.14 22:22:29 | 000,000,000 | ---D | C] -- C:\Programme\Mediafour
[2010.12.14 22:19:40 | 000,000,000 | ---D | C] -- C:\WebCD
[2010.12.14 18:46:28 | 000,000,000 | ---D | C] -- C:\SOUND
[2010.12.14 18:46:28 | 000,000,000 | ---D | C] -- C:\MATERIAL
[2010.12.13 22:36:42 | 000,000,000 | ---D | C] -- C:\Programme\MSXML 4.0
[2010.12.13 22:15:12 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\***\IECompatCache
[2010.12.13 22:13:26 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\***\PrivacIE
[2010.12.13 21:25:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\TVEnhance
[2010.12.13 21:23:07 | 000,095,232 | ---- | C] (CyberLink) -- C:\WINDOWS\System32\oCLWatson.exe
[2010.12.13 21:20:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PlayMovie
[2010.12.13 21:18:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PowerCinema
[2010.12.13 21:17:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\PowerCinema
[2010.12.13 21:13:08 | 000,000,000 | ---D | C] -- C:\Programme\CyberLink
[2010.12.13 21:13:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
[2010.12.13 21:12:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp
[2010.12.13 03:09:25 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Videos
[2010.12.13 03:08:19 | 000,018,808 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsg.dll
[2010.12.13 03:07:59 | 000,000,000 | ---D | C] -- C:\Programme\Windows Media Connect 2
[2010.12.13 03:06:39 | 000,000,000 | ---D | C] -- C:\fc37ce710d4344bd7a7afec5c6
[2010.12.13 03:05:59 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF
[2010.12.13 03:05:59 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\LogFiles
[2010.12.13 03:04:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.01.12 00:39:37 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\shvs.sys
[2011.01.12 00:30:17 | 000,042,496 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.01.12 00:26:18 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.01.11 22:47:17 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2011.01.11 17:43:01 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2011.01.11 16:58:28 | 000,000,020 | ---- | M] () -- C:\GINA.TEXT
[2011.01.11 16:58:21 | 000,212,973 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2011.01.11 16:55:27 | 000,000,041 | ---- | M] () -- C:\WLANCUGINA.TEXT
[2011.01.11 00:32:16 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2011.01.10 22:23:51 | 000,328,704 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\sshnas21.dll
[2011.01.10 14:03:30 | 847,407,423 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\ENDS FINAL REPORTAGE.mov
[2011.01.09 23:37:55 | 004,132,908 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Part 6.wav
[2011.01.09 23:29:45 | 003,076,140 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Part 5.wav
[2011.01.09 23:28:38 | 003,575,852 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Part 4.wav
[2011.01.09 23:26:10 | 002,981,932 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Part 3.wav
[2011.01.09 23:23:36 | 003,223,596 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Part 2.wav
[2011.01.09 23:22:00 | 005,554,220 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Part 1.wav
[2011.01.09 21:50:43 | 000,001,522 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2011.01.09 21:45:32 | 000,001,584 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk
[2011.01.07 17:44:14 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.01.06 16:22:27 | 001,568,456 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.01.06 02:30:06 | 000,000,691 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk
[2011.01.05 18:49:29 | 000,194,184 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\abi.jpg
[2011.01.05 18:48:28 | 000,063,597 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\coole schrift.jpg
[2011.01.05 18:41:11 | 003,778,478 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\5323518933_cc625fe097_b.psd
[2011.01.05 18:36:10 | 000,557,444 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\5323518933_cc625fe097_b Kopie.jpg
[2011.01.05 18:25:41 | 000,042,365 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\kings-of-leon-come-around-sundown.jpg
[2011.01.05 18:12:12 | 000,375,585 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\5323518933_cc625fe097_b.jpg
[2011.01.04 23:00:07 | 093,091,636 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Reportage Final1.mov.AVI
[2011.01.04 22:38:17 | 000,000,906 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\DVDVideoSoft Free Studio.lnk
[2011.01.03 23:03:50 | 019,269,802 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Reportage Final1_001.avi
[2011.01.03 22:52:03 | 003,058,127 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Pazera_Free_MOV_to_AVI_Converter_1.2.zip
[2011.01.03 22:26:35 | 065,832,088 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Reportage Final1.avi
[2011.01.03 22:10:23 | 876,533,983 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Reportage Final1.mov
[2011.01.02 17:42:58 | 000,613,242 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Massenmedium Fernsehen.pptx
[2011.01.02 17:28:09 | 000,613,219 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Massenmedium Fernsehen.pptx
[2010.12.31 08:52:42 | 000,037,415 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\kappet1.aup
[2010.12.31 08:38:42 | 000,040,279 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\kappet.aup
[2010.12.30 20:11:27 | 030,535,724 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\alpha unplugged.wav
[2010.12.29 13:38:30 | 000,057,776 | -H-- | M] () -- C:\WINDOWS\System32\mlfcache.dat
[2010.12.27 04:25:02 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2010.12.27 03:45:30 | 000,001,763 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Lightworks (10.0 Public Beta).lnk
[2010.12.25 02:02:08 | 000,001,325 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Launch Monitor Driver Installer.lnk
[2010.12.23 14:03:41 | 000,135,096 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.15 03:20:48 | 000,001,307 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Nero StartSmart.lnk
[2010.12.15 00:25:44 | 1692,979,945 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Unbenannt3.mov
[2010.12.14 22:20:27 | 000,000,951 | ---- | M] () -- C:\WINDOWS\HFVExplorer.INI
[2010.12.14 18:39:28 | 000,451,980 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.12.14 18:39:28 | 000,435,260 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.12.14 18:39:28 | 000,081,114 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.12.14 18:39:28 | 000,068,156 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.12.13 21:17:59 | 000,001,742 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CyberLink PowerCinema.lnk
[2010.12.13 03:09:07 | 000,000,762 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Windows Media Player.lnk
[2010.12.13 03:08:08 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2010.12.13 03:08:08 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2010.12.13 03:07:18 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
[2010.12.13 03:06:25 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\UMDF\MsftWdf_user_01_00_00.Wdf
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.01.12 00:39:37 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\shvs.sys
[2011.01.12 00:26:18 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.01.11 17:12:49 | 847,407,423 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\ENDS FINAL REPORTAGE.mov
[2011.01.11 01:56:30 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2011.01.09 23:37:55 | 004,132,908 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Part 6.wav
[2011.01.09 23:29:45 | 003,076,140 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Part 5.wav
[2011.01.09 23:28:38 | 003,575,852 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Part 4.wav
[2011.01.09 23:26:10 | 002,981,932 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Part 3.wav
[2011.01.09 23:23:36 | 003,223,596 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Part 2.wav
[2011.01.09 23:21:59 | 005,554,220 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Part 1.wav
[2011.01.09 21:50:43 | 000,001,522 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2011.01.09 21:45:32 | 000,001,584 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk
[2011.01.06 02:30:06 | 000,000,691 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk
[2011.01.05 18:49:27 | 000,194,184 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\abi.jpg
[2011.01.05 18:48:25 | 000,063,597 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\coole schrift.jpg
[2011.01.05 18:41:09 | 003,778,478 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\5323518933_cc625fe097_b.psd
[2011.01.05 18:36:08 | 000,557,444 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\5323518933_cc625fe097_b Kopie.jpg
[2011.01.05 18:22:50 | 000,042,365 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\kings-of-leon-come-around-sundown.jpg
[2011.01.05 18:12:10 | 000,375,585 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\5323518933_cc625fe097_b.jpg
[2011.01.04 22:51:10 | 093,091,636 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Reportage Final1.mov.AVI
[2011.01.04 22:50:17 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2011.01.03 23:00:02 | 019,269,802 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Reportage Final1_001.avi
[2011.01.03 22:50:55 | 003,058,127 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Pazera_Free_MOV_to_AVI_Converter_1.2.zip
[2011.01.03 22:22:11 | 065,832,088 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Reportage Final1.avi
[2011.01.03 22:08:31 | 876,533,983 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Reportage Final1.mov
[2011.01.02 17:42:57 | 000,613,242 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Massenmedium Fernsehen.pptx
[2011.01.02 15:25:00 | 000,613,219 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Massenmedium Fernsehen.pptx
[2010.12.31 08:52:42 | 000,037,415 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\kappet1.aup
[2010.12.31 08:38:42 | 000,040,279 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\kappet.aup
[2010.12.30 20:11:16 | 030,535,724 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\alpha unplugged.wav
[2010.12.29 13:38:30 | 000,057,776 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2010.12.29 13:25:22 | 1692,979,945 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Unbenannt3.mov
[2010.12.25 02:02:07 | 000,001,325 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Launch Monitor Driver Installer.lnk
[2010.12.15 03:20:48 | 000,001,307 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Nero StartSmart.lnk
[2010.12.15 03:12:43 | 000,112,739 | ---- | C] () -- C:\WINDOWS\UNNeroVision.cfg
[2010.12.14 22:19:54 | 000,000,951 | ---- | C] () -- C:\WINDOWS\HFVExplorer.INI
[2010.12.13 21:23:06 | 000,000,917 | ---- | C] () -- C:\WINDOWS\System32\CLWatson.ini
[2010.12.13 21:17:59 | 000,001,742 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CyberLink PowerCinema.lnk
[2010.12.13 03:09:07 | 000,000,762 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Windows Media Player.lnk
[2010.12.13 03:06:25 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\UMDF\MsftWdf_user_01_00_00.Wdf
[2010.12.12 21:51:39 | 000,042,496 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.12.12 15:09:35 | 000,015,873 | ---- | C] () -- C:\WINDOWS\System32\Inetde.dll
[2010.12.11 18:30:40 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\Install6x.dll
[2010.12.11 17:29:21 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.09.06 10:08:36 | 000,033,792 | ---- | C] () -- C:\WINDOWS\System32\rgbacodec.dll
[2009.02.18 14:44:00 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2009.02.18 14:44:00 | 001,507,328 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2009.02.18 14:44:00 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2009.02.18 14:44:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2009.01.05 14:44:10 | 000,000,483 | ---- | C] () -- C:\WINDOWS\bdoscandellang.ini
 
========== LOP Check ==========
 
[2010.12.13 21:13:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp
[2011.01.06 02:15:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2010.12.12 15:15:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010.12.24 17:08:34 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2010.12.12 15:01:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ahnenblatt
[2011.01.09 23:38:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Audacity
[2011.01.03 22:50:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\avidemux
[2011.01.11 17:19:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoft
[2010.12.12 16:12:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers
[2010.12.12 15:28:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\fretsonfire
[2010.12.12 15:34:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Gutscheinmieze
[2011.01.09 21:32:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ
[2010.12.12 15:54:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Launchy
[2010.12.12 20:05:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Local
[2010.12.17 01:32:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PowerCinema
[2010.12.24 17:10:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software
[2011.01.03 22:29:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\XMedia Recode
 
========== Purity Check ==========
 
 

< End of report >
         
--- --- ---
Danke für deine schnelle Hilfe
LG
Brian
__________________

Alt 12.01.2011, 09:15   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



Zitat:
Art des Suchlaufs: Quick-Scan
Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.01.2011, 13:26   #5
Benwick
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



Hier also nun der Vollständige Scan:
Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5510

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.01.2011 13:18:08
mbam-log-2011-01-13 (13-18-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|H:\|I:\|J:\|K:\|N:\|)
Durchsuchte Objekte: 289807
Laufzeit: 2 Stunde(n), 6 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Alt 13.01.2011, 13:45   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
SRV - (SSHNAS) --  File not found
O33 - MountPoints2\N\Shell - "" = AutoRun
O33 - MountPoints2\N\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\N\Shell\AutoRun\command - "" = N:\Setupx.exe -- File not found
[2011.01.10 22:23:51 | 000,328,704 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\sshnas21.dll
[2011.01.12 00:39:37 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\shvs.sys
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
--> Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links

Alt 13.01.2011, 14:11   #7
Benwick
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



N:\Setupx.exe wurde denke ich nicht gefunden, weil es das DVD Laufwerk ist.
Das Log:

Zitat:
All processes killed
========== OTL ==========
Error: No service named SSHNAS was found to stop!
Service\Driver key SSHNAS not found.
File File not found not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\N\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\N\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\N\ not found.
File N:\Setupx.exe not found.
File C:\WINDOWS\System32\sshnas21.dll not found.
File C:\WINDOWS\System32\drivers\shvs.sys not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 640891 bytes

User: ***
->Temp folder emptied: 9317222 bytes
->Temporary Internet Files folder emptied: 27527514 bytes
->Java cache emptied: 554459 bytes
->FireFox cache emptied: 111710187 bytes
->Flash cache emptied: 3843 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2833287 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 148,00 mb


OTL by OldTimer - Version 3.2.20.1 log created on 01132011_140230

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Alt 13.01.2011, 15:08   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.01.2011, 20:43   #9
Benwick
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



Also ich glaube das Tool hat meinem PC nicht unbedingt gut getan.
Zuerst lief das ComboFix wie geplant. Nach der Suche kam etwas über gefundene Rootkits und das neu gestartet werden müsse. Ich klickte auf OK doch nichts passierte. Desktopsymhole und Taskleiste sind verschwunden und man sah nur noch Mauszeiger und Hintergrundbild, doch es passierte nichts mehr. Nach 2,5 std. habe ich probiert über Task-Manager Neuzustarten. Doch dabei passierte auch nichts und nach diesem Versuch ging auch der Task-Manager nicht mehr auf. Also habe ich den PC ausgeschaltet und wieder eingeschaltet.
Bevor nun Desktop Symbole und Taskleiste angezeigt wurden, machte ComboFix erneut einen Suchlauf. Diesmal öffnete er danach eine Logdatei und dann wurde alles andere wieder angezeigt.

Zuerst war danach die CPU die ganze Zeit auf 50% und alles war sehr langsam, was schade war, denn nach dem ganzen Temp Ordner leeren durch CCleaner war der PC wieder unfassbar schnell geworden. Außerdem konnte man keine Internetseiten öffnen.

Jetzt scheint aber wieder alles zu funktionieren: CPU normal und Internet klappt auch.

hier mein Log:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-01-12.04 - Thomas 13.01.2011  19:14:00.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.677 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
 * Im Speicher befindliches AV aktiv.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Microsoft
c:\dokumente und einstellungen\All Users\Microsoft\OfficeSoftwareProtectionPlatform\Cache\cache.dat
c:\dokumente und einstellungen\All Users\Microsoft\OfficeSoftwareProtectionPlatform\tokens.dat
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\08817a2b7919c7f9db17c934e961209a.avi.ddr
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\3.ddi
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\4.ddi
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\settings.ddi
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(2).ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(3).ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(4).ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(5).ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(6).ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\08817a2b7919c7f9db17c934e961209a.avi.ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\Waynes.World.GERMAN.1992.DVDRiP.XviD.iNTERNAL_REQiT.avi.ddp
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Local\Temp\DDM\Settings\Waynes.World.GERMAN.1992.DVDRiP.XviD.iNTERNAL_REQiT.avi.ddr
c:\windows\system32\AVSredirect.dll
c:\windows\system32\Inetde.dll
E:\install.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-12-13 bis 2011-01-13  ))))))))))))))))))))))))))))))
.

2011-01-13 14:52 . 2011-01-13 14:52	--------	d-----w-	c:\programme\CCleaner
2011-01-13 13:02 . 2011-01-13 13:02	--------	d-----w-	C:\_OTL
2011-01-11 23:26 . 2011-01-11 23:26	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Malwarebytes
2011-01-11 23:26 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-11 23:26 . 2011-01-11 23:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-11 23:26 . 2011-01-11 23:26	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-01-11 23:26 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-11 22:23 . 2011-01-11 22:43	--------	d-----w-	c:\windows\BDOSCAN8
2011-01-11 16:03 . 2011-01-13 15:06	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Media Player Classic
2011-01-09 20:50 . 2009-05-18 12:17	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2011-01-09 20:50 . 2008-04-17 11:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2011-01-09 20:44 . 2011-01-09 20:45	--------	d-----w-	c:\programme\QuickTime
2011-01-06 03:21 . 2011-01-06 03:21	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Conduit
2011-01-06 01:30 . 2011-01-06 16:37	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\vlc
2011-01-04 21:50 . 2004-02-22 09:11	719872	----a-w-	c:\windows\system32\devil.dll
2011-01-04 21:50 . 2011-01-04 21:50	--------	d-----w-	c:\programme\AviSynth 2.5
2011-01-04 21:50 . 2009-09-27 08:39	369152	----a-w-	c:\windows\system32\avisynth.dll
2011-01-04 21:50 . 2004-01-24 23:00	70656	----a-w-	c:\windows\system32\yv12vfw.dll
2011-01-04 21:50 . 2004-01-24 23:00	70656	----a-w-	c:\windows\system32\i420vfw.dll
2011-01-04 21:29 . 2011-01-11 16:19	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\DVDVideoSoft
2011-01-03 21:44 . 2011-01-03 21:50	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\avidemux
2011-01-03 21:29 . 2011-01-03 21:29	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\XMedia Recode
2010-12-30 19:05 . 2011-01-09 22:38	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Audacity
2010-12-29 17:49 . 2010-12-29 17:49	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Apple Computer
2010-12-29 17:46 . 2001-08-18 03:54	5632	----a-w-	c:\windows\system32\ptpusb.dll
2010-12-29 17:46 . 2008-04-14 06:52	159232	----a-w-	c:\windows\system32\ptpusd.dll
2010-12-29 17:46 . 2008-04-13 23:15	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2010-12-29 17:46 . 2008-04-13 23:15	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2010-12-27 14:06 . 2010-12-27 14:06	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2010-12-25 01:34 . 2010-12-25 01:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2010-12-25 01:01 . 2010-12-25 01:02	--------	d-----w-	c:\programme\MonitorDriver
2010-12-25 01:01 . 2010-12-25 01:01	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\InstallShield
2010-12-24 16:10 . 2010-12-24 16:10	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\TuneUp Software
2010-12-24 16:09 . 2011-01-06 01:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2010-12-24 16:08 . 2010-12-24 16:08	--------	d-sh--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-12-23 13:06 . 2010-12-23 13:06	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Startmenü
2010-12-22 23:44 . 2010-12-22 23:44	--------	d-----w-	c:\windows\Sun
2010-12-21 16:43 . 2010-12-21 16:43	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2010-12-17 00:33 . 2010-12-28 00:31	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\CyberLink
2010-12-15 20:32 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2010-12-15 20:29 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2010-12-15 02:21 . 2010-12-15 02:21	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Ahead
2010-12-15 02:21 . 2010-12-15 02:21	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Ahead
2010-12-15 02:17 . 2001-07-09 10:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe
2010-12-15 02:15 . 2010-12-15 02:15	--------	d-----w-	c:\programme\Gemeinsame Dateien\Nero
2010-12-15 02:12 . 2005-09-07 16:08	3006464	------w-	c:\windows\UNNeroVision.exe
2010-12-15 02:12 . 2001-03-08 18:30	24064	------w-	c:\windows\system32\msxml3a.dll
2010-12-15 02:11 . 2010-12-15 02:11	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2010-12-15 02:11 . 2004-07-09 08:43	364544	------w-	c:\windows\system32\TwnLib4.dll
2010-12-15 02:11 . 2004-07-26 16:16	471040	------w-	c:\windows\system32\ImagXRA7.dll
2010-12-15 02:11 . 2004-07-26 16:16	262144	------w-	c:\windows\system32\ImagXR7.dll
2010-12-15 02:11 . 2004-07-26 16:16	476320	------w-	c:\windows\system32\ImagXpr7.dll
2010-12-15 02:11 . 2004-07-26 16:16	1568768	------w-	c:\windows\system32\ImagX7.dll
2010-12-15 02:11 . 2001-06-26 07:15	38912	------w-	c:\windows\system32\picn20.dll
2010-12-15 02:11 . 2000-06-26 10:45	106496	----a-w-	c:\windows\system32\TwnLib20.dll
2010-12-15 02:11 . 2010-12-15 02:11	--------	d-----w-	c:\programme\Gemeinsame Dateien\Ahead
2010-12-15 02:11 . 2010-12-15 02:17	--------	d-----w-	c:\programme\Ahead
2010-12-14 21:22 . 2011-01-10 23:28	--------	d-----w-	c:\programme\Mediafour
2010-12-14 21:19 . 2010-12-14 21:19	--------	d-----w-	C:\WebCD

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-23 13:03 . 2010-12-11 21:24	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-12 14:38 . 2010-12-12 14:38	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-12-12 14:38 . 2010-12-12 14:38	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-12-11 17:23 . 2010-12-11 17:23	21035	----a-w-	c:\windows\system32\drivers\AegisP.sys
2010-11-30 17:13 . 2010-12-11 21:24	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-11-18 18:12 . 2010-12-11 16:41	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-16 22:41 . 2010-11-16 22:41	323624	----a-w-	c:\windows\system32\wiaaut.dll
2010-11-12 00:44 . 2010-11-12 00:44	94208	----a-w-	c:\windows\system32\dpl100.dll
2010-11-09 14:51 . 2004-08-04 12:00	249856	----a-w-	c:\windows\system32\odbc32.dll
2010-11-08 22:57 . 2010-11-08 22:57	353592	----a-w-	c:\windows\system32\DivXControlPanelApplet.cpl
2010-11-06 00:21 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-04 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-04 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2004-08-04 12:00	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2004-08-04 12:00	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2004-08-04 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2004-08-04 12:00	1853440	----a-w-	c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2010-07-11 2199040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"nwiz"="nwiz.exe" [2009-02-18 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-30 281768]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-29 421888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Launchy.lnk - c:\programme\Launchy\Launchy.exe [2010-12-12 380928]
Wireless LAN Utility.lnk - c:\programme\LevelOne WNC-0301\WlanCU.exe [2007-11-28 626688]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TVESched"=2 (0x2)
"TVECapSvc"=2 (0x2)
"TuneUp.UtilitiesSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"RichVideo"=2 (0x2)
"osppsvc"=3 (0x3)
"ose"=3 (0x3)
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"MacDrive8Service"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"
"PlayMovie"="c:\programme\CyberLink\PlayMovie\PMVService.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\CyberLink\\TV Enhance\\TVEnhance.exe"=
"c:\\Programme\\CyberLink\\TV Enhance\\TVEService.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R1 LWMouCon;LWMouCon;c:\windows\system32\drivers\LWMOUCON.sys [06.10.2010 16:54 33168]
R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\programme\CyberLink\PlayMovie\000.fcl [13.12.2010 21:18 61424]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.12.2010 22:24 135336]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\programme\Microsoft Office\Office14\GROOVE.EXE [25.03.2010 10:25 30969208]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 21:37 4640000]
S4 TVECapSvc;TVEnhance Background Capture Service (TBCS);c:\programme\CyberLink\TV Enhance\Kernel\TV\TVECapSvc.exe [13.12.2010 21:23 364635]
S4 TVESched;TVEnhance Task Scheduler (TTS));c:\programme\CyberLink\TV Enhance\Kernel\TV\TVESched.exe [13.12.2010 21:23 172121]
.
Inhalt des "geplante Tasks" Ordners

2011-01-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: add to &BOM - c:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Free YouTube Download - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\z2dunjtc.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Personas: personas@christopher.beard - %profile%\extensions\personas@christopher.beard
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: DivX Plus Web Player HTML5 &lt;video&gt;: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\programme\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\programme\DivX\DivX Plus Web Player\firefox\wpa
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-13 19:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\programme\CyberLink\PlayMovie\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1960408961-261478967-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A3A4A4C4-EA81-1CB2-0472-9F85E48460A3}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oahcaoaheicilamljemphaompknlne"=hex:6b,61,6f,6a,61,6f,68,6b,65,67,65,66,70,66,
   6f,68,66,69,62,6b,6b,65,00,7c
"nafdoljdofplhlkikkmhleefibgg"=hex:69,61,61,6b,65,61,63,6c,6d,6f,6f,63,6c,66,
   68,6a,6a,66,00,00
"oahcaoaheicilamljemphaomelglkh"=hex:6a,61,6f,6a,65,6f,64,6d,63,70,68,70,65,67,
   61,6e,63,6e,63,6a,00,54
"nafdoljdofplhlkikkmhledfdcpn"=hex:6a,61,6f,6a,65,6f,64,6d,63,70,68,70,65,67,
   61,6e,63,6e,63,6a,00,54
"fbgfldiheeoafdkmfckphcapmccglhfieajafnogpdnm"=hex:61,61,00,00
"abdfpgkmfafnpppbhnkhhkenkgemnoidpd"=hex:61,61,00,00

[HKEY_USERS\S-1-5-21-1960408961-261478967-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F39E3D89-F213-4B36-8BF4-9EF6F673405A}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oajmjibdogjidfoomigkkoopcnokde"=hex:6a,61,61,68,6c,66,65,65,68,69,67,68,67,6b,
   6b,6f,69,66,61,65,00,f5
"napmphmgofenhknjahkgnkegailc"=hex:6a,61,61,68,6c,66,65,65,68,69,67,68,67,6b,
   6b,6f,69,66,61,65,00,f5
"gbbldpjohbfikdlkjmclphjnojlhaekalibnndceiamocj"=hex:67,61,68,68,61,6a,68,6b,
   6b,61,64,68,70,62,00,00
"bbhkgfdoniafkgkbcbhkkoplabdclocmmkkp"=hex:69,61,61,6f,63,6e,6a,65,67,68,6d,63,
   6b,62,6f,6b,6a,61,00,00
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(900)
c:\windows\SYSTEM32\Wireless\WirelessGina.DLL
.
Zeit der Fertigstellung: 2011-01-13  19:48:24
ComboFix-quarantined-files.txt  2011-01-13 18:48

Vor Suchlauf: 11 Verzeichnis(se), 51.580.637.184 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 51.543.187.456 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - B7436CB8D399DEBBDB9E112EF7191FA9
         
--- --- ---
oh nein, Microsoft Office funktioniert auch nicht mehr. Er meint er könne die Lizenz nicht überprüfen.

Geändert von Benwick (13.01.2011 um 20:58 Uhr)

Alt 13.01.2011, 21:04   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



Zitat:
oh nein, Microsoft Office funktioniert auch nicht mehr. Er meint er könne die Lizenz nicht überprüfen.
Solche tollen Nebeneffekte sind bei Bereinigungen leider schonmal da. Ist doch eine Originalversion von Office - oder?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.01.2011, 21:21   #11
Benwick
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



Ja ist die original Version von Office 2010 Professional Plus. Funktioniert nun wieder nach erneuter Eingabe des Produkt Keys und erneuter Aktivierung. Puh Glück gehabt. Scheint wieder alles beim Alten.

Alt 14.01.2011, 09:03   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



Zitat:
* Im Speicher befindliches AV aktiv.
Du bist sicher, den Virenscanner vor der Ausführung von CF deaktriviert zu haben? Offensichtlich hast du ihn nämlich nicht ausgestellt.
Notfalls AntiVir vorübergehend deinstallieren, wenn wir durch sind, kanns ja wieder rauf.



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


Code:
ATTFilter
Reglockdel::
[HKEY_USERS\S-1-5-21-1960408961-261478967-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A3A4A4C4-EA81-1CB2-0472-9F85E48460A3}*]
[HKEY_USERS\S-1-5-21-1960408961-261478967-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F39E3D89-F213-4B36-8BF4-9EF6F673405A}*]

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.01.2011, 14:18   #13
Benwick
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



Ich hatte Antivir deaktiviert. Allerdings lief alles ja nicht wie geplant ab. Als ich Ok zum Neustart gedrückt habe, passierte nichts mehr. Man konnte nur noch Desktophintergrund und Maus sehen. Als ich den PC dann aus und wieder angemacht habe, startete ja ein neuer Suchlauf, durch den Neustart war allerdings Antivir wieder aktiv.

Und das gleiche Probleme habe ich jetzt wieder. Er zeigt mir an, dass Rootkits gefunden wurden und neu gestartet werden muss. Ich drücke auf OK, aber es passiert nichts und Task Manager lässt sich auch nicht öffnen. Einzige Möglichkeit bleibt das manuelle Aus- und wieder Einschalten.
Was soll ich nun machen?

Alt 16.01.2011, 21:25   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



Kannst du AntiVir vorher mal deinstallieren? Probier das mit Combofix dann nochmal.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.02.2011, 21:34   #15
Benwick
 
Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Standard

Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links



Sorry, dass ich mich erst jetzt melde. War aber ziemlich im Stress.
Nach der Deinstallation von AntiVir hat alles wunderbar funktioniert. Combofix hat nach dem Suchlauf von alleine selbstgestartet und sich nicht aufgehangen. Nach dem Neustart wurde dann noch etwas durchsucht und dieses Log wurde erstellt:
Combofix Logfile:
Code:
ATTFilter
ComboFix 11-01-31.02 - Thomas 02.02.2011  20:54:12.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.729 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Thomas\Desktop\CFScript.txt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\twunk_32.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2011-01-02 bis 2011-02-02  ))))))))))))))))))))))))))))))
.

2011-02-02 17:08 . 2011-02-02 17:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
2011-02-02 14:30 . 2010-03-27 17:06	67032	----a-w-	c:\programme\Mozilla Firefox\plugins\npContribute.dll
2011-02-02 14:06 . 2011-02-02 14:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM
2011-02-02 13:36 . 2011-02-02 13:36	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Adobe Flash Builder 4
2011-02-02 12:53 . 2011-02-02 12:53	--------	d-----w-	c:\programme\Adobe Media Player
2011-02-02 12:52 . 2011-02-02 12:52	--------	d-----w-	c:\programme\My Company Name
2011-02-02 12:44 . 2011-02-02 12:44	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe AIR
2011-02-01 16:02 . 2011-02-01 16:02	--------	d-----w-	c:\programme\Kroll Ontrack
2011-02-01 15:37 . 2011-02-01 15:37	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\OfficeRecovery
2011-01-31 12:56 . 2011-01-31 12:56	--------	d-----w-	c:\programme\iPod
2011-01-23 19:58 . 2011-01-23 20:10	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\BOM
2011-01-16 14:44 . 2011-01-16 14:44	--------	d-----w-	c:\programme\XviD
2011-01-16 14:43 . 2002-01-05 14:37	344064	----a-w-	c:\windows\system32\msvcr70.dll
2011-01-16 14:43 . 2002-01-05 13:40	487424	----a-w-	c:\windows\system32\msvcp70.dll
2011-01-16 14:43 . 2001-08-23 16:00	1700352	----a-w-	c:\windows\system32\gdiplus.dll
2011-01-16 14:43 . 2011-01-16 14:43	--------	d-----w-	C:\Apex
2011-01-14 18:06 . 2011-01-14 18:06	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Identities
2011-01-13 19:48 . 2011-01-13 19:48	--------	d-----w-	c:\dokumente und einstellungen\All Users\Microsoft
2011-01-13 14:52 . 2011-02-02 18:46	--------	d-----w-	c:\programme\CCleaner
2011-01-13 13:02 . 2011-01-13 13:02	--------	d-----w-	C:\_OTL
2011-01-11 23:26 . 2011-01-11 23:26	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Malwarebytes
2011-01-11 23:26 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-11 23:26 . 2011-01-11 23:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-11 23:26 . 2011-01-11 23:26	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-01-11 23:26 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-11 22:23 . 2011-01-11 22:43	--------	d-----w-	c:\windows\BDOSCAN8
2011-01-11 16:03 . 2011-01-13 15:06	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Media Player Classic
2011-01-09 20:50 . 2009-05-18 12:17	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2011-01-09 20:50 . 2008-04-17 11:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2011-01-09 20:44 . 2011-01-09 20:45	--------	d-----w-	c:\programme\QuickTime
2011-01-06 03:21 . 2011-01-06 03:21	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Conduit
2011-01-06 01:30 . 2011-01-06 16:37	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\vlc
2011-01-04 21:50 . 2004-02-22 09:11	719872	----a-w-	c:\windows\system32\devil.dll
2011-01-04 21:50 . 2011-01-04 21:50	--------	d-----w-	c:\programme\AviSynth 2.5
2011-01-04 21:50 . 2009-09-27 08:39	369152	----a-w-	c:\windows\system32\avisynth.dll
2011-01-04 21:50 . 2004-01-24 23:00	70656	----a-w-	c:\windows\system32\yv12vfw.dll
2011-01-04 21:50 . 2004-01-24 23:00	70656	----a-w-	c:\windows\system32\i420vfw.dll
2011-01-04 21:29 . 2011-01-11 16:19	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\DVDVideoSoft
2011-01-03 21:44 . 2011-01-03 21:50	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\avidemux
2011-01-03 21:29 . 2011-01-03 21:29	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\XMedia Recode

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-12 14:38 . 2010-12-12 14:38	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-12-12 14:38 . 2010-12-12 14:38	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-12-11 17:23 . 2010-12-11 17:23	21035	----a-w-	c:\windows\system32\drivers\AegisP.sys
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-11-18 18:12 . 2010-12-11 16:41	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-16 22:41 . 2010-11-16 22:41	323624	----a-w-	c:\windows\system32\wiaaut.dll
2010-11-12 00:44 . 2010-11-12 00:44	94208	----a-w-	c:\windows\system32\dpl100.dll
2010-11-09 14:51 . 2004-08-04 12:00	249856	----a-w-	c:\windows\system32\odbc32.dll
2010-11-08 22:57 . 2010-11-08 22:57	353592	----a-w-	c:\windows\system32\DivXControlPanelApplet.cpl
2010-11-06 00:21 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-04 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-04 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
.

(((((((((((((((((((((((((((((   SnapShot@2011-01-13_18.41.41   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-26 18:10 . 2009-06-26 18:10	59904              c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.4137_x-ww_a57b1f13\mfcm90u.dll
+ 2009-06-26 18:10 . 2009-06-26 18:10	59904              c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.4137_x-ww_a57b1f13\mfcm90.dll
+ 2009-07-09 21:03 . 2009-07-09 21:03	68080              c:\windows\system32\pxcpya64.exe
- 2010-12-12 14:20 . 2010-07-12 18:36	68080              c:\windows\system32\pxcpya64.exe
+ 2011-01-31 12:44 . 2010-09-28 14:44	41984              c:\windows\system32\DRVSTORE\usbaapl_A4C70B47551C2629A145AE032C4D1823570ADB7B\usbaapl.sys
+ 2011-01-31 12:44 . 2010-04-19 19:29	18432              c:\windows\system32\DRVSTORE\netaapl_8A27A03003759CB01567E831096473C330131D64\netaapl.sys
+ 2009-07-09 21:03 . 2009-07-09 21:03	68080              c:\windows\system32\drvins64.exe
+ 2011-02-02 12:53 . 2011-02-02 12:53	22016              c:\windows\Installer\110e54.msi
+ 2011-02-02 12:44 . 2011-02-02 12:44	22528              c:\windows\Installer\110e3e.msi
+ 2011-02-02 12:44 . 2011-02-02 12:44	27648              c:\windows\Installer\110e36.msi
+ 2011-02-02 12:33 . 2011-02-02 12:33	10134              c:\windows\Installer\{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}\ARPPRODUCTICON.exe
+ 2011-02-02 12:33 . 2011-02-02 12:33	10134              c:\windows\Installer\{D1A19B02-817E-4296-A45B-07853FD74D57}\ARPPRODUCTICON.exe
+ 2011-02-02 14:30 . 2011-02-02 14:30	81920              c:\windows\Installer\{BC41C09D-FAA9-4346-9FE6-1E0017BC551A}\ARPPRODUCTICON.exe
+ 2011-02-02 12:33 . 2011-02-02 12:33	10134              c:\windows\Installer\{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}\ARPPRODUCTICON.exe
- 2010-12-12 16:04 . 2011-01-13 00:04	34144              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\oisicon.exe
+ 2010-12-12 16:04 . 2011-01-13 19:50	34144              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\oisicon.exe
+ 2010-12-12 16:04 . 2011-01-13 19:50	42848              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\msouc.exe
- 2010-12-12 16:04 . 2011-01-13 00:04	42848              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\msouc.exe
- 2010-12-12 16:04 . 2011-01-13 00:04	19296              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\cagicon.exe
+ 2010-12-12 16:04 . 2011-01-13 19:50	19296              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\cagicon.exe
+ 2011-02-02 13:09 . 2011-02-02 13:09	81920              c:\windows\Installer\{6E9EF98E-259E-416D-B5F8-0ABDB99942CE}\ARPPRODUCTICON.exe
+ 2011-02-02 12:34 . 2011-02-02 12:34	10134              c:\windows\Installer\{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}\ARPPRODUCTICON.exe
+ 2011-02-02 12:41 . 2011-02-02 12:41	10134              c:\windows\Installer\{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}\ARPPRODUCTICON.exe
+ 2011-02-02 12:32 . 2011-02-02 12:32	10134              c:\windows\Installer\{08D2E121-7F6A-43EB-97FD-629B44903403}\ARPPRODUCTICON.exe
+ 2011-02-02 12:34 . 2011-02-02 12:34	10134              c:\windows\Installer\{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}\ARPPRODUCTICON.exe
+ 2009-06-23 02:00 . 2009-06-23 02:00	9200              c:\windows\system32\drivers\cdralw2k.sys
- 2010-12-12 14:20 . 2010-07-12 18:36	9200              c:\windows\system32\drivers\cdralw2k.sys
+ 2009-06-23 02:00 . 2009-06-23 02:00	9072              c:\windows\system32\drivers\cdr4_xp.sys
- 2010-12-12 14:20 . 2010-07-12 18:36	9072              c:\windows\system32\drivers\cdr4_xp.sys
+ 2009-06-26 18:07 . 2009-06-26 18:07	653120              c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.4137_x-ww_d494ac0e\msvcr90.dll
+ 2009-06-26 18:07 . 2009-06-26 18:07	569664              c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.4137_x-ww_d494ac0e\msvcp90.dll
+ 2009-06-26 18:10 . 2009-06-26 18:10	225280              c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.4137_x-ww_d494ac0e\msvcm90.dll
+ 2009-06-26 18:07 . 2009-06-26 18:07	159032              c:\windows\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.4137_x-ww_35349982\atl90.dll
+ 2002-09-10 15:10 . 2002-09-10 15:10	495616              c:\windows\system32\xvid.dll
- 2010-12-12 14:20 . 2010-07-12 18:36	123888              c:\windows\system32\pxcpyi64.exe
+ 2009-07-09 21:03 . 2009-07-09 21:03	123888              c:\windows\system32\pxcpyi64.exe
+ 2010-03-05 09:13 . 2010-03-05 09:13	947472              c:\windows\system32\msjava.dll
+ 2011-02-02 13:09 . 2011-02-02 13:09	223184              c:\windows\system32\Macromed\Flash\FlashUtil10g_ActiveX.exe
+ 2011-02-02 13:09 . 2011-02-02 13:09	268240              c:\windows\system32\Macromed\Flash\FlashUtil10g_ActiveX.dll
+ 2011-02-02 12:52 . 2011-02-02 12:52	454144              c:\windows\Installer\110e4c.msi
+ 2011-02-02 12:41 . 2011-02-02 12:41	356352              c:\windows\Installer\110e2e.msi
+ 2011-02-02 12:34 . 2011-02-02 12:34	315392              c:\windows\Installer\110e26.msi
+ 2011-02-02 12:34 . 2011-02-02 12:34	316928              c:\windows\Installer\110e1e.msi
+ 2011-02-02 12:33 . 2011-02-02 12:33	356864              c:\windows\Installer\110e16.msi
+ 2011-02-02 12:33 . 2011-02-02 12:33	359424              c:\windows\Installer\110e0e.msi
+ 2011-02-02 12:33 . 2011-02-02 12:33	356352              c:\windows\Installer\110e06.msi
+ 2011-02-02 12:32 . 2011-02-02 12:32	316416              c:\windows\Installer\110dfe.msi
+ 2011-01-31 12:59 . 2011-01-31 12:59	380928              c:\windows\Installer\{AAD47011-8518-4608-9656-951DA35B587B}\iTunesIco.exe
+ 2010-12-12 16:04 . 2011-01-13 19:50	415584              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\pubs.exe
- 2010-12-12 16:04 . 2011-01-13 00:04	415584              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\pubs.exe
+ 2010-12-12 16:04 . 2011-01-13 19:50	303456              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\outicon.exe
- 2010-12-12 16:04 . 2011-01-13 00:04	303456              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\outicon.exe
- 2010-12-12 16:04 . 2011-01-13 00:04	571232              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\misc.exe
+ 2010-12-12 16:04 . 2011-01-13 19:50	571232              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\misc.exe
- 2010-12-12 16:04 . 2011-01-13 00:04	326496              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\joticon.exe
+ 2010-12-12 16:04 . 2011-01-13 19:50	326496              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\joticon.exe
+ 2010-12-12 16:04 . 2011-01-13 19:50	469856              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\inficon.exe
- 2010-12-12 16:04 . 2011-01-13 00:04	469856              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\inficon.exe
+ 2010-12-12 16:04 . 2011-01-13 19:50	178528              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\grvicons.exe
- 2010-12-12 16:04 . 2011-01-13 00:04	178528              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\grvicons.exe
+ 2009-06-26 18:07 . 2009-06-26 18:07	3780416              c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.4137_x-ww_a57b1f13\mfc90u.dll
+ 2009-06-26 18:07 . 2009-06-26 18:07	3765048              c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.4137_x-ww_a57b1f13\mfc90.dll
+ 2010-12-11 16:27 . 2011-02-02 17:56	3779184              c:\windows\system32\FNTCACHE.DAT
+ 2011-01-31 12:44 . 2010-09-28 14:44	4184352              c:\windows\system32\DRVSTORE\usbaapl_A4C70B47551C2629A145AE032C4D1823570ADB7B\usbaaplrc.dll
+ 2011-01-31 12:44 . 2010-04-19 19:29	1461992              c:\windows\system32\DRVSTORE\netaapl_8A27A03003759CB01567E831096473C330131D64\wdfcoinstaller01009.dll
+ 2011-01-31 12:59 . 2011-01-31 12:59	6596096              c:\windows\Installer\df4882.msi
+ 2011-01-31 12:45 . 2011-01-31 12:45	3085312              c:\windows\Installer\df3fd4.msi
+ 2011-02-02 14:30 . 2011-02-02 14:30	1093120              c:\windows\Installer\7c9e7e.msi
+ 2011-02-02 13:09 . 2011-02-02 13:09	1093120              c:\windows\Installer\110e64.msi
+ 2011-02-02 13:00 . 2011-02-02 13:00	2096128              c:\windows\Installer\110e5c.msi
- 2010-12-12 16:04 . 2011-01-13 00:04	1479520              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\xlicons.exe
+ 2010-12-12 16:04 . 2011-01-13 19:50	1479520              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\xlicons.exe
+ 2010-12-12 16:04 . 2011-01-13 19:50	1858400              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\wordicon.exe
- 2010-12-12 16:04 . 2011-01-13 00:04	1858400              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\wordicon.exe
- 2010-12-12 16:04 . 2011-01-13 00:04	3792736              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\pptico.exe
+ 2010-12-12 16:04 . 2011-01-13 19:50	3792736              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\pptico.exe
- 2010-12-12 16:04 . 2011-01-13 00:04	1449312              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\accicons.exe
+ 2010-12-12 16:04 . 2011-01-13 19:50	1449312              c:\windows\Installer\{91140000-0011-0000-0000-0000000FF1CE}\accicons.exe
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2010-07-11 2199040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"nwiz"="nwiz.exe" [2009-02-18 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-01-25 421160]
"AdobeAAMUpdater-1.0"="c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"AdobeCS5ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
"SwitchBoard"="c:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Launchy.lnk - c:\programme\Launchy\Launchy.exe [2010-12-12 380928]
Wireless LAN Utility.lnk - c:\programme\LevelOne WNC-0301\WlanCU.exe [2007-11-28 626688]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TVESched"=2 (0x2)
"TVECapSvc"=2 (0x2)
"TuneUp.UtilitiesSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"RichVideo"=2 (0x2)
"osppsvc"=3 (0x3)
"ose"=3 (0x3)
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"MacDrive8Service"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"
"PlayMovie"="c:\programme\CyberLink\PlayMovie\PMVService.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\CyberLink\\TV Enhance\\TVEnhance.exe"=
"c:\\Programme\\CyberLink\\TV Enhance\\TVEService.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R1 LWMouCon;LWMouCon;c:\windows\system32\drivers\LWMOUCON.sys [06.10.2010 16:54 33168]
R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\programme\CyberLink\PlayMovie\000.fcl [13.12.2010 21:18 61424]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\programme\Microsoft Office\Office14\GROOVE.EXE [25.03.2010 10:25 30969208]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 21:37 4640000]
S3 SwitchBoard;SwitchBoard;c:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe [19.02.2010 13:37 517096]
S4 TVECapSvc;TVEnhance Background Capture Service (TBCS);c:\programme\CyberLink\TV Enhance\Kernel\TV\TVECapSvc.exe [13.12.2010 21:23 364635]
S4 TVESched;TVEnhance Task Scheduler (TTS));c:\programme\CyberLink\TV Enhance\Kernel\TV\TVESched.exe [13.12.2010 21:23 172121]
.
Inhalt des "geplante Tasks" Ordners

2011-02-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: add to &BOM - c:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Free YouTube Download - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\z2dunjtc.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Personas: personas@christopher.beard - %profile%\extensions\personas@christopher.beard
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: DivX Plus Web Player HTML5 &lt;video&gt;: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\programme\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\programme\DivX\DivX Plus Web Player\firefox\wpa
FF - Ext: Adobe Contribute Toolbar: {01A8CA0A-4C96-465b-A49B-65C46FAD54F9} - c:\programme\Adobe\Adobe Contribute CS5\Plugins\FirefoxPlugin\{01A8CA0A-4C96-465b-A49B-65C46FAD54F9}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-02 21:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 


c:\dokume~1\Thomas\LOKALE~1\Temp\catchme.dll 53248 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\programme\CyberLink\PlayMovie\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1960408961-261478967-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A3A4A4C4-EA81-1CB2-0472-9F85E48460A3}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oahcaoaheicilamljemphaompknlne"=hex:6b,61,6f,6a,61,6f,68,6b,65,67,65,66,70,66,
   6f,68,66,69,62,6b,6b,65,00,7c
"nafdoljdofplhlkikkmhleefibgg"=hex:69,61,61,6b,65,61,63,6c,6d,6f,6f,63,6c,66,
   68,6a,6a,66,00,00
"oahcaoaheicilamljemphaomelglkh"=hex:6a,61,6f,6a,65,6f,64,6d,63,70,68,70,65,67,
   61,6e,63,6e,63,6a,00,54
"nafdoljdofplhlkikkmhledfdcpn"=hex:6a,61,6f,6a,65,6f,64,6d,63,70,68,70,65,67,
   61,6e,63,6e,63,6a,00,54
"fbgfldiheeoafdkmfckphcapmccglhfieajafnogpdnm"=hex:61,61,00,00
"abdfpgkmfafnpppbhnkhhkenkgemnoidpd"=hex:61,61,00,00

[HKEY_USERS\S-1-5-21-1960408961-261478967-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F39E3D89-F213-4B36-8BF4-9EF6F673405A}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oajmjibdogjidfoomigkkoopcnokde"=hex:6a,61,61,68,6c,66,65,65,68,69,67,68,67,6b,
   6b,6f,69,66,61,65,00,f5
"napmphmgofenhknjahkgnkegailc"=hex:6a,61,61,68,6c,66,65,65,68,69,67,68,67,6b,
   6b,6f,69,66,61,65,00,f5
"gbbldpjohbfikdlkjmclphjnojlhaekalibnndceiamocj"=hex:67,61,68,68,61,6a,68,6b,
   6b,61,64,68,70,62,00,00
"bbhkgfdoniafkgkbcbhkkoplabdclocmmkkp"=hex:69,61,61,6f,63,6e,6a,65,67,68,6d,63,
   6b,62,6f,6b,6a,61,00,00

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(908)
c:\windows\SYSTEM32\Wireless\WirelessGina.DLL
.
Zeit der Fertigstellung: 2011-02-02  21:24:09
ComboFix-quarantined-files.txt  2011-02-02 20:23
ComboFix2.txt  2011-01-13 18:48

Vor Suchlauf: 14 Verzeichnis(se), 29.639.397.376 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 29.720.117.248 Bytes frei

- - End Of File - - F34D887AEA50CE9E483A8EF80439DCB4
         
--- --- ---

Antwort

Themen zu Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links
.com, antivir, antivir guard, avira, bho, bonjour, browser, converter, dateien gelöscht, desktop, festplatte, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet explorer, mozilla, mp3, plug-in, senden, software, system, taskmanager, trojaner, viren, windows, windows xp



Ähnliche Themen: Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links


  1. Chrome öffnet falsche Links/Spamseiten
    Plagegeister aller Art und deren Bekämpfung - 19.04.2015 (5)
  2. Browser öffnet hin und wieder falsche Websiten bei klick auf links
    Plagegeister aller Art und deren Bekämpfung - 18.01.2013 (9)
  3. Google öffnet falsche Links und Yahoo mail geht bei Firefox nicht
    Log-Analyse und Auswertung - 30.09.2011 (1)
  4. Google öffnet falsche Links (und fake MS Removal Tool)
    Plagegeister aller Art und deren Bekämpfung - 04.04.2011 (17)
  5. Google öffnet falsche Links unter Opera/Malwarebytes stürzt ab
    Plagegeister aller Art und deren Bekämpfung - 11.02.2011 (3)
  6. Firefox öffnet falsche Links, Schadsoftware?
    Log-Analyse und Auswertung - 19.01.2011 (1)
  7. Firefox Öffnet in Google falsche Links und öffnet spontan Websites in neuem Tab
    Plagegeister aller Art und deren Bekämpfung - 28.11.2010 (5)
  8. Firefox langsam, öffnet automatisch links, falsche Weiterleitung bei google suche
    Log-Analyse und Auswertung - 24.11.2010 (17)
  9. Firefox öffnet bei suche in Google mehrmals falsche links vor dem richtigen
    Plagegeister aller Art und deren Bekämpfung - 21.05.2010 (27)
  10. Firefox Öffnet in Google falsche Links + Spotan Werbeseiten
    Plagegeister aller Art und deren Bekämpfung - 18.05.2010 (28)
  11. Google öffnet falsche links
    Plagegeister aller Art und deren Bekämpfung - 23.12.2009 (26)
  12. IE öffnet falsche Links #7
    Log-Analyse und Auswertung - 08.10.2009 (7)
  13. Firefox öffnet falsche links
    Log-Analyse und Auswertung - 26.06.2009 (1)
  14. firefox / google öffnet falsche links
    Log-Analyse und Auswertung - 04.05.2009 (3)
  15. Google öffnet falsche Links
    Log-Analyse und Auswertung - 05.10.2008 (4)
  16. Internet Explorer öffnet zeitweise falsche Links
    Log-Analyse und Auswertung - 31.07.2006 (4)
  17. Internet Explorer öffnet falsche Links
    Log-Analyse und Auswertung - 08.07.2006 (2)

Zum Thema Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links - Hallo Community, ich wollte mir eigentlich Transmac runterladen um eine Macformatierte Festplatte in Windows zu lesen. Allerdings tat sich beim öffnen der .exe Datei nichts, außer, dass sich der Internet - Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links...
Archiv
Du betrachtest: Trojaner (hcw.exe, hcx.exe, hcy.exe, hdodia.exe) öffnet falsche Links auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.