TR/Vundo.Gen in C:\WINDOWS\system32\tdlwsp.dll

Inuschka · 16.11.2009, 21:42

ERGEBNIS

ComboFix 09-11-16.05 - XXX 16.11.2009 19:38..1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.612 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-1701241484-1072665366-4203874858-500
C:\setup.exe

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it

wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_HDUSB

((((((((((((((((((((((( Dateien erstellt von 2009-10-16 bis 2009-11-16 ))))))))))))))))))))))))))))))
.

2009-11-16 17:33 . 2009-11-16 18:01 -------- d-----w- c:\programme\CCleaner
2009-11-12 11:14 . 2009-11-12 11:54 -------- d-----w- C:\VundoFix Backups
2009-11-02 13:44 . 2009-11-02 13:44 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-11-02 13:44 . 2009-11-16 15:04 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM
2009-11-02 13:32 . 2009-11-16 20:17 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2009-11-02 13:31 . 2009-11-02 13:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-11-02 13:30 . 2009-11-02 13:31 -------- d-----r- c:\programme\Skype
2009-11-02 13:30 . 2009-11-02 13:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-10-20 09:04 . 2009-10-20 09:04 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-16 20:19 . 2008-08-17 15:44 9875488 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-11-16 20:12 . 2008-08-17 15:44 118772 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-11-16 18:12 . 2008-08-21 17:50 -------- d-----w- c:\programme\FreeCommander
2009-11-15 19:12 . 2007-11-12 06:41 9275093 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2009-11-04 14:52 . 2005-12-19 06:26 85740 ----a-w- c:\windows\system32\perfc007.dat
2009-11-04 14:52 . 2005-12-19 06:26 462896 ----a-w- c:\windows\system32\perfh007.dat
2009-11-01 16:35 . 2009-10-14 20:46 84289 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\mdbu.bin
2009-10-14 15:33 . 2006-02-03 19:47 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Simple Sudoku
2009-10-14 09:52 . 2009-10-14 09:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\fotokasten comfort
2009-10-14 09:52 . 2009-10-14 09:52 -------- d-----w- c:\programme\fotokasten comfort
2009-10-07 09:54 . 2008-03-21 21:35 -------- d-----w- c:\programme\Trillian
2009-09-11 14:17 . 2005-12-19 06:26 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 21:03 . 2005-12-19 06:26 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 07:54 . 2005-12-19 06:26 916480 ----a-w- c:\windows\system32\wininet.dll
2009-08-26 08:00 . 2005-12-19 06:27 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-22 12:13 . 2006-07-03 11:37 58608 ----a-w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-10-09 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint\Apoint.exe" [2004-11-17 118784]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-08-05 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-08-05 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-08-05 114688]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-05-20 57344]
"SonyPowerCfg"="c:\programme\Sony\VAIO Power Management\SPMgr.exe" [2005-10-19 184320]
"ISBMgr.exe"="c:\programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"Switcher.exe"="c:\programme\Sony\Wireless Switch Setting Utility\Switcher.exe" [2005-01-20 167936]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-24 132496]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-11-05 286720]
"MMReminderService"="c:\programme\Mindjet\MindManager 6\MMReminderService.exe" [2005-09-13 28672]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"WireLessMouse"="c:\programme\Multimedia Mouse Driver\StartAutorun.exe" [2005-11-30 94208]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Mouse Suite 98 Daemon"="ICO.EXE" - c:\windows\system32\ico.exe [2002-03-14 45056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2005-05-20 16:42 73728 ----a-w- c:\windows\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"c:\\Programme\\Autodesk\\Backburner\\server.exe"=
"c:\\Programme\\Autodesk\\3ds Max 2009\\3dsmax.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.05.2009 17:20 108289]
R3 SPI;Sony Programmable I/O Control Device;c:\windows\system32\drivers\SonyPI.sys [19.12.2005 07:27 71961]
R3 ti21sony;ti21sony;c:\windows\system32\drivers\ti21sony.sys [19.12.2005 07:27 217472]
S2 mi-raysat_3dsMax2009_32;mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit;c:\programme\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe [09.03.2008 23:04 65536]
S3 TSClient;Tatara Protocol Driver;c:\windows\system32\drivers\tsclient.sys --> c:\windows\system32\drivers\tsclient.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mbr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-11-13 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 15:46]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyServer = http=192.168.0.1:3128;https=192.168.0.1:3128;ftp=192.168.0.1:3128;gopher=192.168.0.1:3128;socks=192.168.0.1:1080
uInternet Settings,ProxyOverride = 192.168.0.1;127.0.0.1;localhost;;;;;;;;;;;;;;;;;;;;;;;;<local>
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: sony-europe.com
Trusted Zone: sonystyle-europe.com
Trusted Zone: vaio-link.com
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\tm5unjcn.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: network.proxy.http - 192.168.0.1
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.type - 4
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-11-16 21:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1580)
c:\windows\system32\VESWinlogon.dll

- - - - - - - > 'explorer.exe'(4028)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Apoint\Apntex.exe
c:\programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Multimedia Mouse Driver\MouseDrv.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Sony\VAIO Event Service\VESMgr.exe
c:\programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
c:\programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-16 21:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-11-16 20:34

Vor Suchlauf: 11 Verzeichnis(se), 21.210.230.784 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 21.092.352.000 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 7FB6703E7C4959D0413BBE0A13746D67

TR/Vundo.Gen in C:\WINDOWS\system32\tdlwsp.dll

Plagegeister aller Art und deren Bekämpfung: TR/Vundo.Gen in C:\WINDOWS\system32\tdlwsp.dll

TR/Vundo.Gen in C:\WINDOWS\system32\tdlwsp.dll

Ähnliche Themen: TR/Vundo.Gen in C:\WINDOWS\system32\tdlwsp.dll