Ständige Viren in System 32 und unlöschbare Dateiendung

El_Kimmo · 24.11.2009, 20:43

So habe combofix ausgeführt, hier die log

ComboFix 09-11-23.06 - User 24.11.2009 20:24.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1683 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\User\Anwendungsdaten\Gmail
c:\programme\INSTALL.LOG
c:\temp\PRE45
c:\windows\pi.exe
c:\windows\system32\eswdpqxo.ini
c:\windows\system32\Plugins
c:\windows\system32\Plugins\ml\ml_pmp_device_WALKMAN.ini
c:\windows\system32\sX3i19
c:\windows\system32\xbJSYJlm.ini
c:\windows\system32\xbJSYJlm.ini2

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it

wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Legacy_TDSSSERV.SYS

((((((((((((((((((((((( Dateien erstellt von 2009-10-24 bis 2009-11-24 ))))))))))))))))))))))))))))))
.

2009-11-23 21:40 . 2009-11-23 21:40 -------- d-----w- c:\programme\Sophos
2009-11-03 21:14 . 2009-11-03 21:14 -------- d-----w- C:\My Music
2009-11-01 20:43 . 2009-11-01 20:43 2287616 ----a-w- c:\windows\system32\TUKernel.exe
2009-11-01 15:00 . 2009-11-01 15:00 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\TuneUp Software
2009-11-01 14:42 . 2009-11-01 14:42 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\TuneUp Software
2009-11-01 14:42 . 2009-11-07 20:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-11-01 14:41 . 2009-11-01 14:41 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2009-11-01 14:07 . 2009-11-01 14:07 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared
2009-10-30 11:59 . 2009-10-30 11:59 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2009-10-30 11:59 . 2009-07-28 15:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-10-30 11:59 . 2009-03-30 09:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-10-30 11:59 . 2009-02-13 11:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-10-30 11:59 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-10-30 11:59 . 2009-10-30 11:59 -------- d-----w- c:\programme\Avira
2009-10-30 11:59 . 2009-10-30 11:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-23 23:07 . 2007-04-21 12:58 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\OpenOffice.org2
2009-11-23 20:13 . 2009-04-02 15:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-11-23 17:53 . 2008-11-26 19:14 -------- d-----w- c:\programme\CCleaner
2009-11-09 18:31 . 2007-05-21 14:56 -------- d-----w- c:\programme\LingoPad
2009-11-01 15:23 . 2007-07-12 00:56 -------- d-----w- c:\programme\UltraGet Video Downloader
2009-11-01 15:18 . 2009-08-17 15:49 -------- d-----w- c:\programme\Enigma Software Group
2009-11-01 15:02 . 2008-12-15 20:52 -------- d-----w- c:\programme\Red Kawa
2009-11-01 14:07 . 2007-06-17 13:51 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2009-11-01 14:06 . 2007-04-26 12:04 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-11-01 14:06 . 2007-04-26 12:04 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-10-25 19:23 . 2004-08-04 12:00 84666 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 19:23 . 2004-08-04 12:00 458808 ----a-w- c:\windows\system32\perfh007.dat
2009-10-14 12:37 . 2007-05-28 10:37 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Canon
2009-10-13 14:53 . 2007-05-07 17:09 269512 ----a-w- c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-12 14:45 . 2009-10-12 14:41 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2009-10-08 16:20 . 2009-10-08 16:20 -------- d-----w- c:\programme\directx
2009-10-08 09:24 . 2007-09-20 10:53 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-10-07 22:08 . 2008-03-11 14:56 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-10-07 20:52 . 2008-12-28 18:25 -------- d-----w- c:\programme\Trillian
2009-10-07 20:52 . 2009-09-02 12:21 -------- d-----w- c:\programme\CeWe
2009-10-07 20:51 . 2009-09-25 14:33 -------- d-----w- c:\programme\Pixum
2009-10-07 20:51 . 2007-04-21 11:08 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-10-07 20:33 . 2007-10-01 11:51 -------- d-----w- c:\programme\Reality Pump
2009-09-27 12:16 . 2009-09-25 12:41 -------- d-----w- c:\programme\Microsoft Silverlight
2009-09-25 05:35 . 2004-08-04 12:00 672768 ----a-w- c:\windows\system32\wininet.dll
2009-09-25 05:35 . 2004-08-04 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-09-14 15:53 . 2007-04-26 14:34 534 ----a-w- c:\windows\eReg.dat
2009-09-11 14:17 . 2004-08-04 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-10 15:10 . 2009-09-10 15:10 422 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Ahead\ven32.exe
2009-09-10 15:10 . 2009-09-10 15:10 16141 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\ArcSoft\regs32.exe
2009-09-10 15:10 . 2009-09-10 15:10 145131 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer\kls.dll
2009-09-10 15:10 . 2009-09-10 15:10 13221 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Adobe\pup.exe
2009-09-10 15:10 . 2009-09-10 15:10 11232 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\.Tribler\isdn.dll
2009-09-04 21:03 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2008-12-02 21:58 . 2008-12-02 21:58 231390 ----a-w- c:\programme\RootkitRevealer.zip
2006-05-03 10:06 . 2008-02-08 13:15 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-02-08 13:15 31232 --sh--r- c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-02-08 13:15 27648 --sh--w- c:\windows\system32\Smab0.dll
2008-02-04 19:26 . 2008-02-08 13:15 151040 --sh--w- c:\windows\system32\VistaUltm.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-11-01 198160]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-10-22 1622016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NkbMonitor.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\NkbMonitor.exe.lnk
backup=c:\windows\pss\NkbMonitor.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Winexit.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Winexit.lnk
backup=c:\windows\pss\Winexit.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^User^Startmenü^Programme^Autostart^OpenOffice.org 2.1.lnk]
path=c:\dokumente und einstellungen\User\Startmenü\Programme\Autostart\OpenOffice.org 2.1.lnk
backup=c:\windows\pss\OpenOffice.org 2.1.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wscsvc"=2 (0x2)
"CiSvc"=3 (0x3)
"ImapiService"=3 (0x3)
"NVSvc"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Sony\\Media Manager for WALKMAN\\MediaManager.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"d:\\Spiele\\SteamApps\\assi_the_trooper\\counter-strike\\hl.exe"=
"d:\\Spiele\\SteamApps\\assi_the_trooper\\condition zero\\hl.exe"=
"d:\\Spiele\\SteamApps\\assi_the_trooper\\condition zero deleted scenes\\hl.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"d:\\Spiele\\SteamApps\\assi_the_trooper\\day of defeat\\hl.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2009 12:59 108289]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [25.09.2009 13:41 54752]
S2 gupdate1c9b3abc89374fa;Google Update Service (gupdate1c9b3abc89374fa);c:\programme\Google\Update\GoogleUpdate.exe [02.04.2009 16:57 133104]
S3 0e63;0e63;\??\c:\windows\system32\0e63.sys --> c:\windows\system32\0e63.sys [?]
S3 31fF;31fF;\??\c:\windows\system32\31fF.sys --> c:\windows\system32\31fF.sys [?]
S3 3aeB;3aeB;\??\c:\windows\system32\3aeB.sys --> c:\windows\system32\3aeB.sys [?]
S3 6406;6406;\??\c:\windows\system32\6406.sys --> c:\windows\system32\6406.sys [?]
S3 989A;989A;\??\c:\windows\system32\989A.sys --> c:\windows\system32\989A.sys [?]
S3 a9910;a9910;\??\c:\windows\system32\a9910.sys --> c:\windows\system32\a9910.sys [?]
S3 ad37;ad37;\??\c:\windows\system32\ad37.sys --> c:\windows\system32\ad37.sys [?]
S3 d3bE;d3bE;\??\c:\windows\system32\d3bE.sys --> c:\windows\system32\d3bE.sys [?]
S3 e098;e098;\??\c:\windows\system32\e098.sys --> c:\windows\system32\e098.sys [?]
S3 eb32;eb32;\??\c:\windows\system32\eb32.sys --> c:\windows\system32\eb32.sys [?]
S3 f4f4;f4f4;\??\c:\windows\system32\f4f4.sys --> c:\windows\system32\f4f4.sys [?]
S3 ff5C;ff5C;\??\c:\windows\system32\ff5C.sys --> c:\windows\system32\ff5C.sys [?]
S3 fsssvc;Windows Live Family Safety-Dienst;c:\programme\Windows Live\Family Safety\fsssvc.exe [05.08.2009 21:48 704864]
S3 FVSUBGXQMEG;FVSUBGXQMEG;c:\dokume~1\User\LOKALE~1\Temp\FVSUBGXQMEG.exe --> c:\dokume~1\User\LOKALE~1\Temp\FVSUBGXQMEG.exe [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\3D.tmp --> c:\windows\system32\3D.tmp [?]
S3 VtcDrv;Philips SA60xx Recovery Device;c:\windows\system32\drivers\vtcdrv.sys [07.02.2008 16:40 18560]
S4 No30oiaschp;No30oiaschp; [x]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C5FFA5C2-F80C-EB92-15E5-50CB6D007E4D}]
c:\windows\system32\win32GI\svhost.exe s
.
Inhalt des "geplante Tasks" Ordners

2009-11-24 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-06 15:57]

2009-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-02 15:57]

2009-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-02 15:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = Google
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Add to Windows &Live Favorites - Sign In
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: In neuer Registerkarte im Hintergrund öffnen - c:\programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?4d756034759342df9342eeac146bbd95
IE: In neuer Registerkarte im Vordergrund öffnen - c:\programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?4d756034759342df9342eeac146bbd95
FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\ozz5rs05.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\ozz5rs05.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-NVIDIA Drivers - c:\windows\system32\nvudisp.exe UninstallGUI
AddRemove-RealPlayer 12.0 - c:\programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|12.0
AddRemove-Sophos-AntiRootkit - c:\programme\Sophos\Sophos Anti-Rootkit\helper.exe remove
AddRemove-Steam App 10 - d:\spiele\steam.exe steam://uninstall/10
AddRemove-Steam App 100 - d:\spiele\steam.exe steam://uninstall/100
AddRemove-Steam App 150 - d:\spiele\steam.exe steam://uninstall/150
AddRemove-Steam App 30 - d:\spiele\steam.exe steam://uninstall/30
AddRemove-Steam App 40 - d:\spiele\steam.exe steam://uninstall/40
AddRemove-Steam App 60 - d:\spiele\steam.exe steam://uninstall/60
AddRemove-Steam App 80 - d:\spiele\steam.exe steam://uninstall/80

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-11-24 20:34
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\3D.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3868)
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 6\PCSCM.dll
c:\windows\system32\ConnAPI.DLL
c:\programme\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\programme\Google\Update\1.2.183.13\GoogleCrashHandler.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-24 20:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-11-24 19:38

Vor Suchlauf: 1.835.343.872 Bytes frei
Nach Suchlauf: 1.888.608.256 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer /TUTag=C18QMD /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition (TuneUp Backup)" /noexecute=optin /fastdetect /usepmtimer /TUTag=C18QMD-BAK

- - End Of File - - 6F750E3B80F530C70119ADE2CE6BA133

Ständige Viren in System 32 und unlöschbare Dateiendung

Plagegeister aller Art und deren Bekämpfung: Ständige Viren in System 32 und unlöschbare Dateiendung

Ständige Viren in System 32 und unlöschbare Dateiendung

Ähnliche Themen: Ständige Viren in System 32 und unlöschbare Dateiendung