Befall TDSS-X, TDSSPack-L, -K, -O

ComboFix 09-06-13.01 - Helmut 13.06.2009 19:59.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1014.625 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Helmut\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Sophos Anti-Virus *On-access scanning disabled* (Updated) {3F13C776-3CBE-4DE9-8BF6-09E5183CA2BD}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\uactmp.db
c:\windows\system32\UACvpibvlbtesakkdk.log
c:\windows\system32\UACwruwnswuirqnmup.dat
c:\windows\system32\UACyxkbhicsujtnjrx.db
C:\tj.vbs
c:\windows\system32\_000023_.tmp.dll
c:\windows\system32\_000024_.tmp.dll
c:\windows\system32\_000025_.tmp.dll
c:\windows\system32\_000026_.tmp.dll

----- BITS: Eventuell infizierte Webseiten -----

hxxp://rrznt2n.uni-regensburg.de
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys


(((((((((((((((((((((((   Dateien erstellt von 2009-05-13 bis 2009-06-13  ))))))))))))))))))))))))))))))
.

2009-06-13 16:13 . 2009-06-13 16:13	--------	d-----w-	c:\dokumente und einstellungen\Helmut\Anwendungsdaten\Malwarebytes
2009-06-13 16:13 . 2009-05-26 11:20	40160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-13 16:13 . 2009-06-13 16:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-13 16:13 . 2009-05-26 11:19	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-06-13 15:45 . 2009-06-13 15:45	--------	d-----w-	c:\programme\trend micro
2009-06-13 15:45 . 2009-06-13 15:45	--------	d-----w-	C:\rsit
2009-06-13 13:34 . 2009-06-13 16:13	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-06-13 13:16 . 2009-06-13 13:16	--------	d-----w-	c:\programme\CCleaner
2009-06-13 12:54 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-06-13 12:54 . 2009-03-24 14:08	55640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-06-13 12:54 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-06-13 12:54 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-06-13 12:54 . 2009-06-13 12:54	--------	d-----w-	c:\programme\Avira
2009-06-13 12:54 . 2009-06-13 12:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-05-26 09:32 . 2009-05-26 09:32	--------	d-----w-	c:\programme\GPower 3.0
2009-05-25 18:16 . 2009-05-25 18:16	--------	d-----w-	C:\bd85e4d863ccece3f42812163eb8
2009-05-24 18:45 . 2009-05-24 18:45	--------	d-----w-	C:\d64625eedc0da9ce622a7e182d8a48
2009-05-24 18:45 . 2009-05-24 18:45	--------	d-----w-	C:\aa848d948b894d620da925
2009-05-24 18:38 . 2009-05-25 18:26	--------	d--h--w-	c:\windows\$hf_mig$

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-13 14:28 . 2005-06-22 13:45	--------	d-----w-	c:\programme\Filzip
2009-06-13 14:27 . 2009-02-08 13:01	--------	d-----w-	c:\programme\Google
2009-06-13 14:00 . 2005-06-22 13:29	--------	d-----w-	c:\programme\Java
2009-06-13 11:19 . 2009-02-05 15:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-06-13 11:19 . 2009-02-05 15:17	--------	d-----w-	c:\programme\NOS
2009-06-13 11:11 . 2007-11-12 13:26	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-06-07 14:35 . 2008-10-06 08:28	--------	d-----w-	c:\programme\Paint Shop Pro 7
2009-06-02 17:02 . 2008-10-28 14:00	190	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\prsgrc.dll
2009-05-26 09:27 . 2008-10-07 10:22	29232	----a-w-	c:\dokumente und einstellungen\Helmut\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-25 18:21 . 2005-06-22 12:43	81842	----a-w-	c:\windows\system32\perfc007.dat
2009-05-25 18:21 . 2005-06-22 12:43	452038	----a-w-	c:\windows\system32\perfh007.dat
2009-05-12 16:19 . 2009-04-06 17:02	130104	----a-w-	c:\windows\system32\sdccoinstaller.dll
2009-05-12 16:19 . 2009-04-06 17:02	23552	----a-w-	c:\windows\system32\sophosboottasks.exe
2009-06-11 10:39 . 2006-02-02 12:25	67688	----a-w-	c:\programme\mozilla firefox\components\jar50.dll
2009-06-11 10:39 . 2006-02-02 12:25	54368	----a-w-	c:\programme\mozilla firefox\components\jsd3250.dll
2009-06-11 10:39 . 2007-11-12 11:42	34944	----a-w-	c:\programme\mozilla firefox\components\myspell.dll
2009-06-11 10:39 . 2007-11-12 11:42	46712	----a-w-	c:\programme\mozilla firefox\components\spellchk.dll
2009-06-11 10:39 . 2006-02-02 12:25	172136	----a-w-	c:\programme\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DVDLauncher"="c:\programme\CyberLink\PowerDVD\DVDLauncher.exe" [2004-07-07 53248]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-07-21 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-07-21 86016]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-07-21 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 49263]
"NWTRAY"="NWTRAY.EXE" - c:\windows\system32\nwtray.exe [2002-03-12 28672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"TSClientMSIUninstaller"="c:\windows\Installer\TSClientMsiTrans\tscuinst.vbs" [2006-11-07 12451]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
AutoUpdate Monitor.lnk - c:\programme\Sophos\AutoUpdate\ALMon.exe [2009-2-27 245760]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwv1_0 wvauth

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Novell\\GroupWise\\grpwise.exe"=
"c:\\Novell\\GroupWise\\notify.exe"=
"c:\\Programme\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE"=
"c:\\Programme\\SPSS-16.0\\spss.exe"=
"c:\\Programme\\SPSS-16.0\\SPSSWinWrapIDE.exe"=
"c:\\Programme\\SPSS-16.0\\spss.com"=
"c:\\Programme\\TYPO3_4.2.3\\Apache\\bin\\Apache.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"524:TCP"= 524:TCP:*:Disabled:ncp-tcp
"524:UDP"= 524:UDP:*:Disabled:ncp-udp

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 SAVOnAccessControl;SAVOnAccessControl;c:\windows\system32\drivers\savonaccesscontrol.sys [08.01.2007 09:47 110848]
R1 SAVOnAccessFilter;SAVOnAccessFilter;c:\windows\system32\drivers\savonaccessfilter.sys [08.01.2007 09:48 38528]
R2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [13.10.2008 11:52 99840]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [13.06.2009 14:54 108289]
R2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe [28.05.2009 13:31 80936]
R2 SAVService;Sophos Anti-Virus;c:\programme\Sophos\Sophos Anti-Virus\SavService.exe [02.10.2008 18:30 98304]
R3 PortDRv;PST Port I/O Driver;c:\windows\system32\drivers\PortDRv.sys [06.12.2008 17:00 7168]
R3 SRBoxDRv;PST Serial Response Box Driver;c:\windows\system32\drivers\SRBoxDRv.sys [06.12.2008 17:00 11776]
S3 Ndisprot;ArcNet NDIS Protocol Driver;c:\windows\system32\drivers\ndisprot.sys [02.12.2008 17:18 27904]
.
Inhalt des "geplante Tasks" Ordners

2009-06-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ncbi.nlm.nih.gov/pubmed/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
FF - ProfilePath - 
.
.
------- Dateityp-Verknüpfung -------
.
vbsfile\shell\edit\command=%SystemRoot%\System32\Notepad.exe %1
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-13 20:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(540)
c:\windows\system32\wvauth.dll
c:\windows\system32\biolsp.dll

- - - - - - - > 'Explorer.exe'(3884)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Wave Systems Corp\common\DataServer.exe
c:\programme\Wave Systems Corp\common\DataServer.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\HPZipm12.exe
c:\programme\Sophos\AutoUpdate\ALsvc.exe
c:\programme\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe
c:\windows\system32\CF9580.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-13 20:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-06-13 18:06

Vor Suchlauf: 18 Verzeichnis(se), 56.981.794.816 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 57.226.145.792 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

194	--- E O F ---	2009-06-13 11:53