Virtumonde und Vundo problem auf XP Pro

Kazass · 22.09.2008, 20:18

Combofix Log:

Code:

ATTFilter

ComboFix 08-09-20.02 - Zeljana 2008-09-22 20:45:37.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.977 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Zeljana\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((   Dateien erstellt von 2008-08-22 bis 2008-09-22  ))))))))))))))))))))))))))))))
.

2008-09-22 19:26 . 2008-09-22 19:26	<DIR>	d--------	C:\!KillBox
2008-09-22 19:22 . 2008-09-22 19:27	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-09-22 19:22 . 2008-09-22 19:22	<DIR>	d--------	C:\Dokumente und Einstellungen\Zeljana\Anwendungsdaten\Malwarebytes
2008-09-22 19:22 . 2008-09-22 19:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-22 19:22 . 2008-09-08 00:11	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-22 19:22 . 2008-09-08 00:11	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-20 18:00 . 2008-09-20 14:21	96,978	--a------	C:\VirtumundoBeGone.exe
2008-09-18 20:55 . 2008-09-18 20:55	<DIR>	d--------	C:\Dokumente und Einstellungen\Zeljana\Anwendungsdaten\Lavasoft
2008-09-18 18:44 . 2008-09-18 18:44	<DIR>	d--------	C:\VundoFix Backups
2008-09-18 15:29 . 2008-09-18 16:46	75,560,435	--a------	C:\sdat5386.exe
2008-09-18 15:20 . 2008-09-18 16:53	<DIR>	d--------	C:\VDEFS
2008-09-17 23:52 . 2008-09-17 23:55	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-09-17 23:52 . 2008-09-18 06:36	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-16 22:23 . 2008-09-16 22:23	<DIR>	d--------	C:\Programme\totalcmd
2008-09-16 19:20 . 2008-09-21 14:59	<DIR>	d--------	C:\WINDOWS\system32\CatRoot2
2008-09-16 18:33 . 2008-09-16 18:37	462	--a------	C:\WINDOWS\wincmd.ini
2008-09-06 18:36 . 2007-04-03 16:18	29,744	---------	C:\WINDOWS\system32\InstHelper.dll
2008-09-06 18:35 . 2008-09-06 18:35	8	--a------	C:\WINDOWS\system32\success
2008-09-06 18:34 . 2008-09-06 18:34	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Deterministic Networks
2008-09-06 18:34 . 2008-09-06 18:34	<DIR>	d--------	C:\Programme\ETHZ
2008-09-06 18:34 . 2007-04-03 16:17	306,295	--a------	C:\WINDOWS\system32\drivers\CVPNDRVA.sys
2008-09-06 18:34 . 2007-04-03 16:18	197,672	--a------	C:\WINDOWS\system32\vpnapi.dll
2008-09-06 18:34 . 2007-04-03 16:18	193,576	--a------	C:\WINDOWS\system32\CSGina.dll
2008-09-06 18:34 . 2007-01-18 14:28	5,275	--a------	C:\WINDOWS\system32\drivers\CVirtA.sys
2008-09-06 18:26 . 2008-09-06 18:27	1,594	--a------	C:\WINDOWS\VPNUnInstall.MIF
2008-09-06 18:15 . 2007-01-24 00:23	127,376	--a------	C:\WINDOWS\system32\drivers\dne2000.sys
2008-09-06 18:15 . 2007-01-24 00:23	101,904	--a------	C:\WINDOWS\system32\dneinobj.dll
2008-09-06 18:14 . 2008-09-06 18:16	1,594	--a------	C:\WINDOWS\VPNInstall.MIF
2008-09-01 14:52 . 2008-09-01 14:59	<DIR>	d--------	C:\Programme\winpwn-2.5
2008-09-01 14:04 . 2008-09-01 14:04	<DIR>	d--------	C:\Dokumente und Einstellungen\Zeljana\Anwendungsdaten\cmw
2008-08-31 18:52 . 2008-08-08 07:04	545	--a------	C:\WINDOWS\UC.PIF
2008-08-31 18:52 . 2008-08-08 07:04	545	--a------	C:\WINDOWS\RAR.PIF
2008-08-31 18:52 . 2008-08-08 07:04	545	--a------	C:\WINDOWS\PKZIP.PIF
2008-08-31 18:52 . 2008-08-08 07:04	545	--a------	C:\WINDOWS\PKUNZIP.PIF
2008-08-31 18:52 . 2008-08-08 07:04	545	--a------	C:\WINDOWS\NOCLOSE.PIF
2008-08-31 18:52 . 2008-08-08 07:04	545	--a------	C:\WINDOWS\LHA.PIF
2008-08-31 18:52 . 2008-08-08 07:04	545	--a------	C:\WINDOWS\ARJ.PIF
2008-08-31 18:35 . 2008-08-31 18:43	<DIR>	d--------	C:\Programme\iPhoneBrowser
2008-08-30 18:36 . 2008-08-30 18:36	<DIR>	d--------	C:\Programme\WinSCP
2008-08-30 02:49 . 2008-08-30 03:01	<DIR>	d--------	C:\Programme\TiEmu
2008-08-27 03:07 . 2008-08-27 03:07	<DIR>	d--------	C:\Dokumente und Einstellungen\Zeljana\Anwendungsdaten\CyberLink
2008-08-26 14:13 . 2008-08-26 14:13	<DIR>	d--------	C:\Dokumente und Einstellungen\Zeljana\Anwendungsdaten\Sonic

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-18 04:44	---------	d-----w	C:\Dokumente und Einstellungen\Zeljana\Anwendungsdaten\MailWasherPro
2008-09-16 20:23	---------	d-----w	C:\Programme\Java
2008-09-16 19:19	---------	d-----w	C:\Programme\FlashGet
2008-09-16 16:32	---------	d-----w	C:\Dokumente und Einstellungen\Zeljana\Anwendungsdaten\Azureus
2008-09-06 16:34	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-09-01 14:11	---------	d-----w	C:\Dokumente und Einstellungen\Zeljana\Anwendungsdaten\Apple Computer
2008-08-20 17:44	---------	d-----w	C:\Dokumente und Einstellungen\Zeljana\Anwendungsdaten\Toshiba
2008-08-20 10:47	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-08-20 10:44	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2008-08-20 10:44	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems
2008-08-11 20:39	---------	d-----w	C:\Programme\Vuze
2008-08-06 16:03	---------	d-----w	C:\Programme\Winamp
2008-08-06 16:03	---------	d-----w	C:\Dokumente und Einstellungen\Zeljana\Anwendungsdaten\Winamp
2008-08-06 14:57	---------	d-----w	C:\Programme\Exact Audio Copy
2008-08-05 19:36	---------	d-----w	C:\Programme\iTunes
2008-08-05 19:36	---------	d-----w	C:\Programme\iPod
2008-08-05 19:35	---------	d-----w	C:\Programme\Apple Software Update
2008-08-05 13:31	---------	d-----w	C:\Dokumente und Einstellungen\Zeljana\Anwendungsdaten\CopyTrans
2008-08-05 13:29	---------	d-----w	C:\Dokumente und Einstellungen\Zeljana\Anwendungsdaten\iCloner
2008-08-05 13:26	---------	d-----w	C:\Dokumente und Einstellungen\Zeljana\Anwendungsdaten\CopyTransControlCenter
2008-08-05 02:10	---------	d-----w	C:\Programme\Wide Angle Software
2008-08-05 00:17	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-08-04 20:39	---------	d-----w	C:\Programme\Opera
2008-08-03 22:54	---------	d-----w	C:\Programme\Dell
2008-08-03 14:31	---------	d-----w	C:\Programme\Corel
2008-08-02 18:32	---------	d-----w	C:\Programme\eMule
2008-07-22 18:32	32,000	----a-w	C:\WINDOWS\system32\drivers\usbaapl.sys
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-07 20:30	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-07-07 20:30	253,952	------w	C:\WINDOWS\system32\dllcache\es.dll
2008-07-05 17:04	6,216	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
2008-06-24 16:22	74,240	----a-w	C:\WINDOWS\system32\mscms.dll
2008-06-24 16:22	74,240	------w	C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-23 09:53	18,432	------w	C:\WINDOWS\system32\dllcache\iedw.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264]
"VodafoneUSBPP.exe"="C:\Programme\Huawei technologies\Vodafone Mobile Connect Modem\VodafoneUSBPP.exe" [2007-03-03 954368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2004-09-13 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 385024]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2005-09-01 684032]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 53248]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-12-06 127035]
"MSKDetectorExe"="C:\Programme\McAfee\SpamKiller\MSKDetct.exe" [2005-07-12 1117184]
"ShStatEXE"="C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208]
"McAfeeUpdaterUI"="C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"Network Associates Error Reporting Service"="C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"eFax 4.2"="C:\Programme\eFax Messenger 4.2\J2GDllCmd.exe" [2006-07-14 107008]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-08-04 36352]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 15360]

C:\Dokumente und Einstellungen\Zeljana\Startmen \Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-09-07 18:08 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=cavzig.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2005-06-10 12:44 81920 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Opera\\opera.exe"=
"C:\\Programme\\Vuze\\Azureus.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

S3 US122;US122 Driver;C:\WINDOWS\system32\Drivers\US122.sys [2003-04-17 215708]
S3 US122DL;US122 Firmware Downloader;C:\WINDOWS\system32\Drivers\US122DL.sys [2003-04-17 17263]
S3 Us122WdmService;US122 Wdm Audio;C:\WINDOWS\system32\Drivers\US122Wdm.sys [2003-04-17 84092]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e157c76-7cc1-11dc-831e-00166f157d4a}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e157c77-7cc1-11dc-831e-00166f157d4a}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e157c78-7cc1-11dc-831e-00166f157d4a}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e157c79-7cc1-11dc-831e-00166f157d4a}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e157c7a-7cc1-11dc-831e-00166f157d4a}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e157c7c-7cc1-11dc-831e-00166f157d4a}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e157c7d-7cc1-11dc-831e-001422eb24fa}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e157c7f-7cc1-11dc-831e-001422eb24fa}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{416ec6a6-7be3-11dc-831a-00166f157d4a}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{416ec6a7-7be3-11dc-831a-00166f157d4a}]
\Shell\AutoRun\command - F:\AutoRun.exe
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.ch/
R0 -: HKLM-Main,Start Page = hxxp://www.euro.dell.com
R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.euro.dell.com/
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
O8 -: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 -: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-22 20:47:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-22 20:49:19
ComboFix-quarantined-files.txt  2008-09-22 18:49:00
ComboFix2.txt  2008-09-20 19:31:21

Vor Suchlauf: 8'717'660'160 Bytes frei
Nach Suchlauf: 8,703,475,712 Bytes frei

216	--- E O F ---	2008-09-11 14:45:56

Virtumonde und Vundo problem auf XP Pro

Plagegeister aller Art und deren Bekämpfung: Virtumonde und Vundo problem auf XP Pro

Virtumonde und Vundo problem auf XP Pro

Ähnliche Themen: Virtumonde und Vundo problem auf XP Pro