Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc

Psychotic · 24.05.2012, 13:11

CF-Script

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

ATTFilter

DIRLOOK::
c:\dokumente und einstellungen\XXX\Anwendungsdaten\Iwos
c:\dokumente und einstellungen\XXX\Anwendungsdaten\Ukxeuc
c:\dokumente und einstellungen\All Users\Anwendungsdaten\F4D561EA000155CA000062EED151FC4E
REGISTRY::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5220:TCP"=-
"4430:TCP"=-

Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!
Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.
Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
Mache nichts am PC solange ComboFix läuft.

In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

<-IceD@te-> · 24.05.2012, 13:56

Here it is:

CFSCript_log_impersonal.txt

Code:

ATTFilter

ComboFix 12-05-24.01 - XXX 24.05.2012  14:37:35.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3326.2415 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXX\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-04-24 bis 2012-05-24  ))))))))))))))))))))))))))))))
.
.
2012-05-24 09:41 . 2012-05-24 09:41	--------	d-----w-	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2012-05-24 09:40 . 2012-05-24 09:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-05-24 09:40 . 2012-05-24 09:40	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-05-24 09:40 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-05-24 08:03 . 2008-04-13 22:49	75264	-c--a-w-	c:\windows\system32\dllcache\ipsec.sys
2012-05-24 08:03 . 2008-04-13 22:49	75264	----a-w-	c:\windows\system32\drivers\ipsec.sys
2012-05-22 09:48 . 2012-05-08 16:40	6737808	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C13A79DC-A9B8-479A-B30A-8A78E9F6F521}\mpengine.dll
2012-05-22 07:13 . 2012-05-22 07:13	--------	d-----w-	C:\EDV
2012-05-21 11:36 . 2012-05-21 11:36	--------	d-----w-	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-05-21 11:20 . 2012-05-21 11:20	--------	d-----w-	C:\Halde
2012-05-14 12:05 . 2012-04-18 01:06	6734704	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-05-14 12:05 . 2012-02-23 08:18	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-05-14 12:03 . 2012-05-22 09:50	--------	d-----w-	c:\programme\Microsoft Security Client
2012-05-14 11:51 . 2012-05-14 11:52	--------	d-----w-	c:\windows\system32\MpEngineStore
2012-05-14 11:20 . 2012-05-14 11:53	--------	d-----w-	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Iwos
2012-05-14 11:20 . 2012-05-14 11:39	--------	d-----w-	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Ukxeuc
2012-05-14 11:18 . 2012-05-14 11:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\F4D561EA000155CA000062EED151FC4E
2012-05-07 08:10 . 2012-05-14 11:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware
2012-05-07 08:10 . 2006-06-26 13:58	1929216	----a-w-	c:\windows\system32\cdintf250.dll
2012-05-07 08:08 . 2012-05-07 08:08	--------	d-----w-	c:\programme\Microsoft.NET
2012-05-07 08:03 . 2012-05-14 11:34	--------	d-----w-	c:\programme\Gemeinsame Dateien\Lexware
2012-05-07 08:03 . 2012-05-07 08:12	--------	d-----w-	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Lexware
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-10 05:27 . 2012-04-05 05:14	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-10 05:27 . 2011-06-08 05:49	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-20 18:44 . 2012-03-20 18:44	171064	----a-w-	c:\windows\system32\drivers\MpFilter.sys
2003-06-19 10:05 . 2003-06-19 10:05	431888	--s-a-w-	c:\programme\Gemeinsame Dateien\riched20.dll
.
.
((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\dokumente und einstellungen\All Users\Anwendungsdaten\F4D561EA000155CA000062EED151FC4E ----
.
2012-05-14 11:18 . 2012-05-14 11:22	328	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\F4D561EA000155CA000062EED151FC4E\F4D561EA000155CA000062EED151FC4E
.
---- Directory of c:\dokumente und einstellungen\XXX\Anwendungsdaten\Iwos ----
.
.
---- Directory of c:\dokumente und einstellungen\XXX\Anwendungsdaten\Ukxeuc ----
.
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-22 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"KEN Taskbar Client"="c:\programme\KEN!\kentbcli.exe" [2007-02-07 262144]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"Google Updater"="c:\programme\Google\Google Updater\GoogleUpdater.exe" [2010-01-22 160752]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2008-04-11 1085440]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
" Malwarebytes Anti-Malware "="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-BA7E-000000000002}\SC_Acrobat.exe [2009-12-2 25214]
Corel MEDIA FOLDERS INDEXER 8.LNK - c:\corel\Graphics8\Programs\MFIndexer.exe [2009-12-2 82944]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2011-8-30 106561]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Brother\\Brmfl08d\\FAXRX.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"139:TCP"= 139:TCP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22004
"445:TCP"= 445:TCP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22005
"137:UDP"= 137:UDP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22001
"138:UDP"= 138:UDP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22002
"54925:UDP"= 54925:UDP:BrotherNetwork Scanner
.
R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [24.11.2009 18:39 18208]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [24.05.2012 11:40 654408]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [24.05.2012 11:40 22344]
S1 gdbthsde;gdbthsde;\??\c:\windows\system32\drivers\gdbthsde.sys --> c:\windows\system32\drivers\gdbthsde.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gpiucvny;Shell Image;c:\windows\system32\svchost.exe -k netsvcs [14.04.2008 07:53 14336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.07.2011 08:16 136176]
S2 hlbsfmrjp;Windows Image;c:\windows\system32\svchost.exe -k netsvcs [14.04.2008 07:53 14336]
S2 KEN Client Service;AVM KEN Klient;c:\programme\KEN!\kencli.exe [25.11.2009 15:20 167936]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [24.11.2009 15:23 1684736]
S3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\programme\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [12.04.2011 07:52 155344]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - IPFILTERDRIVER
*NewlyCreated* - MBAMPROTECTOR
*NewlyCreated* - MBAMSERVICE
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
hlbsfmrjp
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-24 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-01-22 07:32]
.
2012-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-07-06 06:16]
.
2012-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-07-06 06:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = ftp=XXX:3128;http=XXX:3128;https=XXX:3128;socks=XXX:1080
uInternet Settings,ProxyOverride = *.local;<local>
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: Interfaces\{F39568A1-E1ED-41CB-80D8-5514023B806E}: NameServer = XXX
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-05-24 14:40
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2712)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2012-05-24  14:42:14
ComboFix-quarantined-files.txt  2012-05-24 12:42
ComboFix2.txt  2012-05-24 08:13
.
Vor Suchlauf: 35 Verzeichnis(se), 12.159.053.824 Bytes frei
Nach Suchlauf: 36 Verzeichnis(se), 12.136.009.728 Bytes frei
.
- - End Of File - - E7574F4253401ABED44AEA90DD7CA364

Und weiter kann's gehen!

Psychotic · 24.05.2012, 14:03

CF-Script

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

ATTFilter

FOLDER::
c:\dokumente und einstellungen\XXX\Anwendungsdaten\Iwos
c:\dokumente und einstellungen\XXX\Anwendungsdaten\Ukxeuc
c:\dokumente und einstellungen\All Users\Anwendungsdaten\F4D561EA000155CA000062EED151FC4E

Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!
Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.
Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
Mache nichts am PC solange ComboFix läuft.

In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Schritt 2: Onlinescan zur Kontrolle

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Macht der Rechner noch Probleme?

<-IceD@te-> · 24.05.2012, 14:33

Und da ist das Logfile:

CFSCript2_log.txt

Code:

ATTFilter

ComboFix 12-05-24.02 - XXX 24.05.2012  15:19:34.3.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3326.2369 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXX\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\F4D561EA000155CA000062EED151FC4E
c:\dokumente und einstellungen\All Users\Anwendungsdaten\F4D561EA000155CA000062EED151FC4E\F4D561EA000155CA000062EED151FC4E
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-04-24 bis 2012-05-24  ))))))))))))))))))))))))))))))
.
.
2012-05-24 13:18 . 2012-05-24 13:19	--------	d-----w-	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Temp
2012-05-24 09:41 . 2012-05-24 09:41	--------	d-----w-	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2012-05-24 09:40 . 2012-05-24 09:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-05-24 09:40 . 2012-05-24 09:40	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-05-24 09:40 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-05-24 08:03 . 2008-04-13 22:49	75264	-c--a-w-	c:\windows\system32\dllcache\ipsec.sys
2012-05-24 08:03 . 2008-04-13 22:49	75264	----a-w-	c:\windows\system32\drivers\ipsec.sys
2012-05-22 09:48 . 2012-05-08 16:40	6737808	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition 

Updates\{C13A79DC-A9B8-479A-B30A-8A78E9F6F521}\mpengine.dll
2012-05-22 07:13 . 2012-05-22 07:13	--------	d-----w-	C:\EDV
2012-05-21 11:36 . 2012-05-21 11:36	--------	d-----w-	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-05-21 11:20 . 2012-05-21 11:20	--------	d-----w-	C:\Halde
2012-05-14 12:05 . 2012-04-18 01:06	6734704	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition 

Updates\Backup\mpengine.dll
2012-05-14 12:05 . 2012-02-23 08:18	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-05-14 12:03 . 2012-05-22 09:50	--------	d-----w-	c:\programme\Microsoft Security Client
2012-05-14 11:51 . 2012-05-14 11:52	--------	d-----w-	c:\windows\system32\MpEngineStore
2012-05-14 11:20 . 2012-05-14 11:53	--------	d-----w-	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Iwos
2012-05-14 11:20 . 2012-05-14 11:39	--------	d-----w-	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Ukxeuc
2012-05-07 08:10 . 2012-05-14 11:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware
2012-05-07 08:10 . 2006-06-26 13:58	1929216	----a-w-	c:\windows\system32\cdintf250.dll
2012-05-07 08:08 . 2012-05-07 08:08	--------	d-----w-	c:\programme\Microsoft.NET
2012-05-07 08:03 . 2012-05-14 11:34	--------	d-----w-	c:\programme\Gemeinsame Dateien\Lexware
2012-05-07 08:03 . 2012-05-07 08:12	--------	d-----w-	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Lexware
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-10 05:27 . 2012-04-05 05:14	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-10 05:27 . 2011-06-08 05:49	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-20 18:44 . 2012-03-20 18:44	171064	----a-w-	c:\windows\system32\drivers\MpFilter.sys
2003-06-19 10:05 . 2003-06-19 10:05	431888	--s-a-w-	c:\programme\Gemeinsame Dateien\riched20.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-05-24_08.09.02   )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-05-24 13:19 . 2012-05-24 13:19	22016              c:\windows\Installer\11fe291.msi
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-22 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"KEN Taskbar Client"="c:\programme\KEN!\kentbcli.exe" [2007-02-07 262144]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"Google Updater"="c:\programme\Google\Google Updater\GoogleUpdater.exe" [2010-01-22 160752]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2008-04-11 1085440]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
" Malwarebytes Anti-Malware "="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-BA7E-000000000002}\SC_Acrobat.exe [2009-12-2 25214]
Corel MEDIA FOLDERS INDEXER 8.LNK - c:\corel\Graphics8\Programs\MFIndexer.exe [2009-12-2 82944]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2011-8-30 106561]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Brother\\Brmfl08d\\FAXRX.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"139:TCP"= 139:TCP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22004
"445:TCP"= 445:TCP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22005
"137:UDP"= 137:UDP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22001
"138:UDP"= 138:UDP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22002
"54925:UDP"= 54925:UDP:BrotherNetwork Scanner
.
R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [24.11.2009 18:39 18208]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [24.05.2012 11:40 654408]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [24.05.2012 11:40 22344]
S1 gdbthsde;gdbthsde;\??\c:\windows\system32\drivers\gdbthsde.sys --> c:\windows\system32\drivers\gdbthsde.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gpiucvny;Shell Image;c:\windows\system32\svchost.exe -k netsvcs [14.04.2008 07:53 14336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.07.2011 08:16 136176]
S2 hlbsfmrjp;Windows Image;c:\windows\system32\svchost.exe -k netsvcs [14.04.2008 07:53 14336]
S2 KEN Client Service;AVM KEN Klient;c:\programme\KEN!\kencli.exe [25.11.2009 15:20 167936]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [24.11.2009 15:23 1684736]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.07.2011 08:16 136176]
S3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\programme\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [12.04.2011 07:52 155344]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 

753504]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - IPFILTERDRIVER
*NewlyCreated* - MBAMPROTECTOR
*NewlyCreated* - MBAMSERVICE
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
hlbsfmrjp
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-24 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-01-22 07:32]
.
2012-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cd39afced80adc.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-07-06 06:16]
.
2012-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-07-06 06:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = ftp=XXX:3128;http=XXX:3128;https=XXX:3128;socks=XXX:1080
uInternet Settings,ProxyOverride = *.local;<local>
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: Interfaces\{F39568A1-E1ED-41CB-80D8-5514023B806E}: NameServer = XXX
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-05-24 15:21
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-05-24  15:22:47
ComboFix-quarantined-files.txt  2012-05-24 13:22
ComboFix2.txt  2012-05-24 12:42
ComboFix3.txt  2012-05-24 08:13
.
Vor Suchlauf: 35 Verzeichnis(se), 12.150.063.104 Bytes frei
Nach Suchlauf: 36 Verzeichnis(se), 12.120.027.136 Bytes frei
.
- - End Of File - - FC4C898A835C4BB9C79D7C63392EE64F

Der Feierabend rückt in greifbare Nähe - den OnlineScan werde ich dann morgen früh gegen 7 starten.

Bisher läuft der PC unauffällig.

Beste Grüße
Robert

Psychotic · 24.05.2012, 14:36

Du hättest die verfremdeten Userdaten XXX in meiner Anweisung wieder ändern müssen - hole das nach und fixe erneut wie beschrieben!

<-IceD@te-> · 24.05.2012, 14:48

Ach ja ... Zeit für Feierabend...

Da war die Konzentration hinüber - Ich mach's morgen früh nochmal inklusive Online-Scan.

Bis morgen

Beste Grüße
Robert

<-IceD@te-> · 25.05.2012, 07:43

Guten Morgen,

hier die Ergebnisse von ComboFix-Script Nr.2:
CFSCript3_log_impersonal.txt

Code:

ATTFilter

ComboFix 12-05-25.01 - XXX 25.05.2012   7:39.4.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3326.2553 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXX\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\XXX\Anwendungsdaten\Iwos
c:\dokumente und einstellungen\XXX\Anwendungsdaten\Ukxeuc
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-04-25 bis 2012-05-25  ))))))))))))))))))))))))))))))
.
.
2012-05-24 13:18 . 2012-05-24 13:19	--------	d-----w-	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Temp
2012-05-24 09:41 . 2012-05-24 09:41	--------	d-----w-	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2012-05-24 09:40 . 2012-05-24 09:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-05-24 09:40 . 2012-05-24 09:40	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-05-24 09:40 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-05-24 08:03 . 2008-04-13 22:49	75264	-c--a-w-	c:\windows\system32\dllcache\ipsec.sys
2012-05-24 08:03 . 2008-04-13 22:49	75264	----a-w-	c:\windows\system32\drivers\ipsec.sys
2012-05-22 09:48 . 2012-05-08 16:40	6737808	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition 

Updates\{C13A79DC-A9B8-479A-B30A-8A78E9F6F521}\mpengine.dll
2012-05-22 07:13 . 2012-05-22 07:13	--------	d-----w-	C:\EDV
2012-05-21 11:36 . 2012-05-21 11:36	--------	d-----w-	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-05-21 11:20 . 2012-05-21 11:20	--------	d-----w-	C:\Halde
2012-05-14 12:05 . 2012-04-18 01:06	6734704	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition 

Updates\Backup\mpengine.dll
2012-05-14 12:05 . 2012-02-23 08:18	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-05-14 12:03 . 2012-05-22 09:50	--------	d-----w-	c:\programme\Microsoft Security Client
2012-05-14 11:51 . 2012-05-14 11:52	--------	d-----w-	c:\windows\system32\MpEngineStore
2012-05-07 08:10 . 2012-05-14 11:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware
2012-05-07 08:10 . 2006-06-26 13:58	1929216	----a-w-	c:\windows\system32\cdintf250.dll
2012-05-07 08:08 . 2012-05-07 08:08	--------	d-----w-	c:\programme\Microsoft.NET
2012-05-07 08:03 . 2012-05-14 11:34	--------	d-----w-	c:\programme\Gemeinsame Dateien\Lexware
2012-05-07 08:03 . 2012-05-07 08:12	--------	d-----w-	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Lexware
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-10 05:27 . 2012-04-05 05:14	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-10 05:27 . 2011-06-08 05:49	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-20 18:44 . 2012-03-20 18:44	171064	----a-w-	c:\windows\system32\drivers\MpFilter.sys
2003-06-19 10:05 . 2003-06-19 10:05	431888	--s-a-w-	c:\programme\Gemeinsame Dateien\riched20.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-05-24_08.09.02   )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-08-04 12:00 . 2012-05-25 05:16	79152              c:\windows\system32\perfc009.dat
- 2004-08-04 12:00 . 2012-05-24 08:10	79152              c:\windows\system32\perfc009.dat
+ 2012-05-24 13:19 . 2012-05-24 13:19	22016              c:\windows\Installer\11fe291.msi
+ 2004-08-04 12:00 . 2012-05-25 05:16	480696              c:\windows\system32\perfh009.dat
- 2004-08-04 12:00 . 2012-05-24 08:10	480696              c:\windows\system32\perfh009.dat
- 2004-08-04 12:00 . 2012-05-24 08:10	526828              c:\windows\system32\perfh007.dat
+ 2004-08-04 12:00 . 2012-05-25 05:16	526828              c:\windows\system32\perfh007.dat
+ 2004-08-04 12:00 . 2012-05-25 05:16	104732              c:\windows\system32\perfc007.dat
- 2004-08-04 12:00 . 2012-05-24 08:10	104732              c:\windows\system32\perfc007.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-22 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"KEN Taskbar Client"="c:\programme\KEN!\kentbcli.exe" [2007-02-07 262144]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"Google Updater"="c:\programme\Google\Google Updater\GoogleUpdater.exe" [2010-01-22 160752]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2008-04-11 1085440]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-BA7E-000000000002}\SC_Acrobat.exe [2009-12-2 25214]
Corel MEDIA FOLDERS INDEXER 8.LNK - c:\corel\Graphics8\Programs\MFIndexer.exe [2009-12-2 82944]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2011-8-30 106561]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Brother\\Brmfl08d\\FAXRX.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"139:TCP"= 139:TCP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22004
"445:TCP"= 445:TCP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22005
"137:UDP"= 137:UDP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22001
"138:UDP"= 138:UDP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22002
"54925:UDP"= 54925:UDP:BrotherNetwork Scanner
.
R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [24.11.2009 18:39 18208]
R2 KEN Client Service;AVM KEN Klient;c:\programme\KEN!\kencli.exe [25.11.2009 15:20 167936]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [24.05.2012 11:40 654408]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [24.05.2012 11:40 22344]
S1 gdbthsde;gdbthsde;\??\c:\windows\system32\drivers\gdbthsde.sys --> c:\windows\system32\drivers\gdbthsde.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gpiucvny;Shell Image;c:\windows\system32\svchost.exe -k netsvcs [14.04.2008 07:53 14336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.07.2011 08:16 136176]
S2 hlbsfmrjp;Windows Image;c:\windows\system32\svchost.exe -k netsvcs [14.04.2008 07:53 14336]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [24.11.2009 15:23 1684736]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.07.2011 08:16 136176]
S3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\programme\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [12.04.2011 07:52 155344]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 

753504]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
hlbsfmrjp
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-25 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-01-22 07:32]
.
2012-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cd39afced80adc.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-07-06 06:16]
.
2012-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-07-06 06:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = ftp=XXX:3128;http=XXX:3128;https=XXX:3128;socks=XXX:1080
uInternet Settings,ProxyOverride = localhost;<local>
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: Interfaces\{F39568A1-E1ED-41CB-80D8-5514023B806E}: NameServer = XXX
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-05-25 07:42
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3756)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2012-05-25  07:43:34
ComboFix-quarantined-files.txt  2012-05-25 05:43
ComboFix2.txt  2012-05-24 13:22
ComboFix3.txt  2012-05-24 12:42
ComboFix4.txt  2012-05-24 08:13
.
Vor Suchlauf: 35 Verzeichnis(se), 14.125.666.304 Bytes frei
Nach Suchlauf: 36 Verzeichnis(se), 14.110.396.416 Bytes frei
.
- - End Of File - - 486ED8801E6CE034575935C2966EAAF7

Nun starte ich den Online-Scan.

Eine Frage schon vorweg, falls der Onlinescan Negativ (also ohne Funde) ist:

Kann MSE weiter auf dem PC verwendet werden?

Beste Grüße
Robert

Psychotic · 25.05.2012, 07:52

Zitat:

Kann MSE weiter auf dem PC verwendet werden?

Spricht nix dagegen - wenn ihr ihn so konfiguriert, dass er euren VNC-Server nicht killt!

<-IceD@te-> · 25.05.2012, 08:03

Es gibt da ein Problem:

Dann werden wieder die Lizenzbedingungen angezeigt...

Psychotic · 25.05.2012, 08:05

Starte neu und versuche es erneut!
ODER, du nimmst firefox!

<-IceD@te-> · 25.05.2012, 08:54

Nach dem Neustart hatte IE immernoch keine Lust auf Eset.

Also hab' ich FF12 installiert, konfiguriert, Eset wie beschrieben installiert und konfiguriert.
Zusätzlich habe ich in den erweiterten Eset-Einstellungen einen Haken bei "Scan for potentially unsafe applications" gesetzt und unseren Proxy eingetragen. Nun läuft der Scan.

Ich hoffe der Scan ist negativ.

Danach habe ich noch Einiges an dem PC zu tun:

* VNC von MSE befreien
* MBAM deinstallieren
* Windows Update ausführen (die Auto-Upds haben möglicherweise nicht funktioniert, da WinHTTP unsere Proxyeinstellungen nicht hatte)
* Updates von mindestens: Java, Adobe Flash
* Die vielen Dateien vom Kampf gegen die 'Verschmutzungen' wieder entfernen

In naher Zukunft muss ich das System dann nochmal säubern, Alles updaten, defragmentieren und Avira Endpoint Security installieren (das haben wir als Unternehmenslösung).
Zwei Fragen dazu:
Sollte ich zusätzlich noch Sicherheitssoftware auf unseren XP-Clients installieren?
Was ist kompatibel mit Avira ES und darf kostenfrei kommerziell genutzt werden?

Beste Grüße
Robert

Psychotic · 25.05.2012, 09:05

Wir kümmern uns im Nachklapp um nicht aktuelle Software sowie die Windows updates, mach einfach mal nur das, was ich sage, sonst kriegen wir u.U. deftige Probleme mit dem System!

<-IceD@te-> · 25.05.2012, 09:14

Zitat:

Zitat von PsYcHoTiC

Wir kümmern uns im Nachklapp um nicht aktuelle Software sowie die Windows updates[...]

Konnte ich ja nicht wissen. Bitte entschuldige - ich wollte nicht voreilig sein, sondern habe nur Überlegungen angestellt.

Psychotic · 25.05.2012, 09:24

Kein Problem, ich wollte lediglich einen etwaigen Alleingang im Keim ersticken!

<-IceD@te-> · 25.05.2012, 09:56

Versteh' schon... Sicherlich muss man bei den meisten Usern auch gleich ordentlich dazwischenkloppen um sie zu bremsen

- ich kenne das!

25.05.2012, 08:05	#25
Psychotic /// Malwareteam	Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc Starte neu und versuche es erneut! ODER, du nimmst firefox! __________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

25.05.2012, 09:24	#29
Psychotic /// Malwareteam	Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc Kein Problem, ich wollte lediglich einen etwaigen Alleingang im Keim ersticken! __________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc

Plagegeister aller Art und deren Bekämpfung: Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc