Vundo /xa.tmp

hellbender2 · 09.01.2010, 15:19

hallo,
ich habe heute beim surfen auf einen link zu einem bild geklickt und dann schmierte auf einmal mein opera ab. hab im taskmanager geschaut und da sah ich auf einmal eine seltsame datei "xa.tmp" . diese soll wohl vundo zurückzuführen sein. habe dann combofix durchlaufen lassen und da wurde mir auch xa.tmp angezeigt.

wie werde ich diese plage wieder los???
bin dankbar für hilfe.

hier mein combofix file:

ComboFix 09-06-03.04 - MARCUS 09.01.2010 14:42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.585 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\MARCUS\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.

((((((((((((((((((((((( Dateien erstellt von 2009-12-09 bis 2010-01-09 ))))))))))))))))))))))))))))))
.

2010-01-09 13:35 . 2010-01-09 13:35 54624 ----a-w- c:\windows\system32\7ed9.sys
2010-01-05 19:03 . 2010-01-05 19:04 1956528 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player_ax.exe
2010-01-05 19:03 . 2010-01-09 13:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-12-13 17:49 . 2009-12-13 17:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\espionServerData
2009-12-12 09:48 . 2009-12-12 15:26 -------- d-----w- c:\programme\Alfa & Ariss

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-09 13:33 . 2009-05-27 00:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-01-09 13:10 . 2010-01-09 13:10 838238 ----a-w- c:\windows\system32\xa.tmp
2010-01-01 17:41 . 2009-05-27 00:57 950304 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2010-01-01 17:41 . 2009-05-27 00:57 5376 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2010-01-01 17:41 . 2009-05-27 00:57 4598304 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-01-01 17:41 . 2009-05-27 00:57 40148 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-12-23 11:21 . 2009-06-04 16:12 -------- d-----w- c:\programme\GAMES
2009-12-03 09:47 . 2009-05-27 10:44 1256 ----a-w- c:\dokumente und einstellungen\MARCUS\Anwendungsdaten\wklnhst.dat
2009-11-28 19:55 . 2006-03-16 05:47 95834 ----a-w- c:\windows\system32\perfc007.dat
2009-11-28 19:55 . 2006-03-16 05:47 485476 ----a-w- c:\windows\system32\perfh007.dat
2009-11-23 18:59 . 2009-11-23 18:59 -------- d--h--w- c:\programme\CanonBJ
2009-10-29 05:24 . 2006-03-16 05:47 672768 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2006-03-16 05:47 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2006-03-16 05:47 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 23:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-14 14:00 . 2009-05-27 00:57 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2009-10-14 14:00 . 2009-05-27 00:57 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-10-13 10:32 . 2006-03-16 05:47 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2006-03-16 05:47 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2006-03-16 05:47 150528 ----a-w- c:\windows\system32\rastls.dll
.

------- Sigcheck -------

[-] 2004-08-10 12:00 15360 7CE20569925DF6789C31799F0C538F29 c:\windows\$NtServicePackUninstall$\ctfmon.exe
[-] 2009-05-29 15:32 24064 C3A2915C71AE6F225EB906C25CCD29B5 c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2009-05-29 15:32 24064 C3A2915C71AE6F225EB906C25CCD29B5 c:\windows\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-06 7557120]
"Apoint"="c:\programme\Apoint\Apoint.exe" [2004-11-17 118784]
"VAIOCameraUtility"="c:\programme\Sony\VAIO Camera Utility\VCUServe.exe" [2005-12-27 69632]
"SonyPowerCfg"="c:\programme\Sony\VAIO Power Management\SPMgr.exe" [2005-12-13 217088]
"ISBMgr.exe"="c:\programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-21 208616]
"Mouse Suite 98 Daemon"="ICO.EXE" - c:\windows\system32\ico.exe [2002-03-14 45056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-05-29 24064]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2005-05-20 16:42 73728 ----a-w- c:\windows\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1\mzvkbd.dll c:\progra~1\KASPER~1\KASPER~1\mzvkbd3.dll c:\progra~1\KASPER~1\KASPER~1\adialhk.dll c:\progra~1\KASPER~1\KASPER~1\kloehk.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
backup=c:\windows\pss\Bluetooth Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NSCService"=3 (0x3)
"ccSetMgr"=2 (0x2)
"ccISPwdSvc"=3 (0x3)
"ccEvtMgr"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ICQ Lite"="c:\programme\ICQLite\ICQLite.exe" -minimize
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"AcronisTimounterMonitor"=c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe
"ehTray"=c:\windows\ehome\ehtray.exe
"Openwares LiveUpdate"=c:\program files\LiveUpdate\LiveUpdate.exe
"VAIO Update 4"="c:\programme\Sony\VAIO Update 4\VAIOUpdt.exe" /Stationary
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"SsAAD.exe"=c:\progra~1\Sony\SONICS~1\SsAAD.exe
"TrueImageMonitor.exe"=c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Adobe\\Photoshop Elements 4.0\\AdobePhotoshopElementsMediaServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 17:29 33808]
R0 tdrpman228;Acronis Try&Decide and Restore Points filter (build 228);c:\windows\system32\drivers\tdrpm228.sys [27.05.2009 10:04 902592]
R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB [?]
R3 7ed9;7ed9;c:\windows\system32\7ed9.sys [09.01.2010 14:35 54624]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 18:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 17:06 24592]
R3 SonyImgF;Sony Image Conversion Filter Driver;c:\windows\system32\drivers\SonyImgF.sys [16.03.2006 06:48 29184]
R3 ti21sony;ti21sony;c:\windows\system32\drivers\ti21sony.sys [16.03.2006 06:48 226304]
S3 38c1E07;38c1E07;c:\windows\system32\38c1E07.sys [08.10.2009 08:49 54624]
S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - 7ED9

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2f5ddde-5405-11de-9a20-0013027d7226}]
\Shell\AutoRun\command - G:\wubi.exe --cdmenu
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-procexp90.Sys

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://club.vaio.sony.eu/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-09 14:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10d.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10d.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1308)
c:\windows\system32\VESWinlogon.dll
.
Zeit der Fertigstellung: 2010-01-09 14:46
ComboFix-quarantined-files.txt 2010-01-09 13:45

Vor Suchlauf: 15 Verzeichnis(se), 11.613.564.928 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 11.646.676.992 Bytes frei

162 --- E O F --- 2009-12-20 16:43

Vundo /xa.tmp

Plagegeister aller Art und deren Bekämpfung: Vundo /xa.tmp

Vundo /xa.tmp

Ähnliche Themen: Vundo /xa.tmp