Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc

<-IceD@te-> · 24.05.2012, 12:31

Finished the three Steps:

mbam-log-2012-05-24 (11-44-32)_impersonal.txt

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.24.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Xxx :: XXX [Administrator]

Schutz: Aktiviert

24.05.2012 11:44:32
mbam-log-2012-05-24 (11-44-32).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen: 
Durchsuchte Objekte: 535045
Laufzeit: 1 Stunde(n), 16 Minute(n), 

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

FSS_Impersonal.txt

Code:

ATTFilter

Farbar Service Scanner Version: 17-05-2012
Ran by XXX (administrator) on 24-05-2012 at 13:19:57
Running from "C:\Dokumente und Einstellungen\XXX\Desktop"
Microsoft Windows XP Professional Service Pack 3 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Attempt to access Google IP returned error: Google IP is unreachable
Attempt to access Yahoo IP returned error: Yahoo IP is offline


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Disabled Policy: 
========================


File Check:
========
C:\WINDOWS\system32\dhcpcsvc.dll
[2008-04-14 07:52] - [2008-04-14 07:52] - 0127488 ____A (Microsoft Corporation) C29A1C9B75BA38FA37F8C44405DEC360

C:\WINDOWS\system32\Drivers\afd.sys
[2008-04-14 00:49] - [2008-10-16 16:43] - 0138496 ____A (Microsoft Corporation) 7618D5218F2A614672EC61A80D854A37

C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
C:\WINDOWS\system32\dnsrslvr.dll
[2008-04-14 07:52] - [2009-04-20 19:17] - 0045568 ____A (Microsoft Corporation) 407F3227AC618FD1CA54B335B083DE07

C:\WINDOWS\system32\ipnathlp.dll
[2008-04-14 07:52] - [2008-04-21 20:44] - 0333824 ____A (Microsoft Corporation) F96D196D81A92A6C55178F3F49B227A1

C:\WINDOWS\system32\netman.dll
[2008-04-14 07:52] - [2008-04-14 07:52] - 0198144 ____A (Microsoft Corporation) E6D88F1F6745BF00B57E7855A2AB696C

C:\WINDOWS\system32\wbem\WMIsvc.dll
[2009-11-24 15:06] - [2008-04-14 07:52] - 0145408 ____A (Microsoft Corporation) 6F3F3973D97714CC5F906A19FE883729

C:\WINDOWS\system32\srsvc.dll
[2009-11-24 15:08] - [2008-04-14 07:52] - 0171520 ____A (Microsoft Corporation) FE77A85495065F3AD59C5C65B6C54182

C:\WINDOWS\system32\Drivers\sr.sys
[2009-11-24 15:08] - [2008-04-14 07:32] - 0073472 ____A (Microsoft Corporation) 50FA898F8C032796D3B1B9951BB5A90F

C:\WINDOWS\system32\svchost.exe
[2008-04-14 07:53] - [2008-04-14 07:53] - 0014336 ____A (Microsoft Corporation) 4FBC75B74479C7A6F829E0CA19DF3366

C:\WINDOWS\system32\rpcss.dll
[2008-04-14 07:52] - [2009-02-09 12:54] - 0401408 ____A (Microsoft Corporation) D3D765E8455A961AE567B408F767D4F9

C:\WINDOWS\system32\services.exe
[2008-04-14 07:53] - [2009-02-09 13:14] - 0111104 ____A (Microsoft Corporation) F0A7D59AF279326528715B206669B86C


Extra List:
=======
Gpc(3) IPSec(5) NetBT(6) PSched(7) Tcpip(4) 
0x0700000005000000010000000200000003000000040000000600000007000000
IpSec Tag value is correct.

**** End of log ****

Sieht doch ganz gut aus oder? Wie gehts jetzt weiter?

Psychotic · 24.05.2012, 12:39

Sagen dir die beiden, in der Firewall geöffneten ports etwas?

Zitat:

"5220:TCP"= 5220:TCP:paadshg
"4430:TCP"= 4430:TCP:eumex401

Der untere deutet auf eine Eumex 401 telefonanlage hin, habt ihr eine solche?

Bitte Klärung herbeiführen, sonst töten wir die beiden Einträge!

<-IceD@te-> · 24.05.2012, 13:01

Beide Einträge sind unbekannter Herkunft und werden von uns nicht benötigt!

Psychotic · 24.05.2012, 14:36

Du hättest die verfremdeten Userdaten XXX in meiner Anweisung wieder ändern müssen - hole das nach und fixe erneut wie beschrieben!

<-IceD@te-> · 24.05.2012, 14:48

Ach ja ... Zeit für Feierabend...

Da war die Konzentration hinüber - Ich mach's morgen früh nochmal inklusive Online-Scan.

Bis morgen

Beste Grüße
Robert

<-IceD@te-> · 25.05.2012, 07:43

Guten Morgen,

hier die Ergebnisse von ComboFix-Script Nr.2:
CFSCript3_log_impersonal.txt

Code:

ATTFilter

ComboFix 12-05-25.01 - XXX 25.05.2012   7:39.4.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3326.2553 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXX\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\XXX\Anwendungsdaten\Iwos
c:\dokumente und einstellungen\XXX\Anwendungsdaten\Ukxeuc
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-04-25 bis 2012-05-25  ))))))))))))))))))))))))))))))
.
.
2012-05-24 13:18 . 2012-05-24 13:19	--------	d-----w-	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Temp
2012-05-24 09:41 . 2012-05-24 09:41	--------	d-----w-	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2012-05-24 09:40 . 2012-05-24 09:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-05-24 09:40 . 2012-05-24 09:40	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-05-24 09:40 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-05-24 08:03 . 2008-04-13 22:49	75264	-c--a-w-	c:\windows\system32\dllcache\ipsec.sys
2012-05-24 08:03 . 2008-04-13 22:49	75264	----a-w-	c:\windows\system32\drivers\ipsec.sys
2012-05-22 09:48 . 2012-05-08 16:40	6737808	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition 

Updates\{C13A79DC-A9B8-479A-B30A-8A78E9F6F521}\mpengine.dll
2012-05-22 07:13 . 2012-05-22 07:13	--------	d-----w-	C:\EDV
2012-05-21 11:36 . 2012-05-21 11:36	--------	d-----w-	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-05-21 11:20 . 2012-05-21 11:20	--------	d-----w-	C:\Halde
2012-05-14 12:05 . 2012-04-18 01:06	6734704	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition 

Updates\Backup\mpengine.dll
2012-05-14 12:05 . 2012-02-23 08:18	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-05-14 12:03 . 2012-05-22 09:50	--------	d-----w-	c:\programme\Microsoft Security Client
2012-05-14 11:51 . 2012-05-14 11:52	--------	d-----w-	c:\windows\system32\MpEngineStore
2012-05-07 08:10 . 2012-05-14 11:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware
2012-05-07 08:10 . 2006-06-26 13:58	1929216	----a-w-	c:\windows\system32\cdintf250.dll
2012-05-07 08:08 . 2012-05-07 08:08	--------	d-----w-	c:\programme\Microsoft.NET
2012-05-07 08:03 . 2012-05-14 11:34	--------	d-----w-	c:\programme\Gemeinsame Dateien\Lexware
2012-05-07 08:03 . 2012-05-07 08:12	--------	d-----w-	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Lexware
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-10 05:27 . 2012-04-05 05:14	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-10 05:27 . 2011-06-08 05:49	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-20 18:44 . 2012-03-20 18:44	171064	----a-w-	c:\windows\system32\drivers\MpFilter.sys
2003-06-19 10:05 . 2003-06-19 10:05	431888	--s-a-w-	c:\programme\Gemeinsame Dateien\riched20.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-05-24_08.09.02   )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-08-04 12:00 . 2012-05-25 05:16	79152              c:\windows\system32\perfc009.dat
- 2004-08-04 12:00 . 2012-05-24 08:10	79152              c:\windows\system32\perfc009.dat
+ 2012-05-24 13:19 . 2012-05-24 13:19	22016              c:\windows\Installer\11fe291.msi
+ 2004-08-04 12:00 . 2012-05-25 05:16	480696              c:\windows\system32\perfh009.dat
- 2004-08-04 12:00 . 2012-05-24 08:10	480696              c:\windows\system32\perfh009.dat
- 2004-08-04 12:00 . 2012-05-24 08:10	526828              c:\windows\system32\perfh007.dat
+ 2004-08-04 12:00 . 2012-05-25 05:16	526828              c:\windows\system32\perfh007.dat
+ 2004-08-04 12:00 . 2012-05-25 05:16	104732              c:\windows\system32\perfc007.dat
- 2004-08-04 12:00 . 2012-05-24 08:10	104732              c:\windows\system32\perfc007.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-22 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"KEN Taskbar Client"="c:\programme\KEN!\kentbcli.exe" [2007-02-07 262144]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"Google Updater"="c:\programme\Google\Google Updater\GoogleUpdater.exe" [2010-01-22 160752]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2008-04-11 1085440]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-BA7E-000000000002}\SC_Acrobat.exe [2009-12-2 25214]
Corel MEDIA FOLDERS INDEXER 8.LNK - c:\corel\Graphics8\Programs\MFIndexer.exe [2009-12-2 82944]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2011-8-30 106561]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Brother\\Brmfl08d\\FAXRX.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"139:TCP"= 139:TCP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22004
"445:TCP"= 445:TCP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22005
"137:UDP"= 137:UDP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22001
"138:UDP"= 138:UDP:XXX/255.255.255.0,XXX/255.255.255.0:Enabled:@xpsp2res.dll,-22002
"54925:UDP"= 54925:UDP:BrotherNetwork Scanner
.
R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [24.11.2009 18:39 18208]
R2 KEN Client Service;AVM KEN Klient;c:\programme\KEN!\kencli.exe [25.11.2009 15:20 167936]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [24.05.2012 11:40 654408]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [24.05.2012 11:40 22344]
S1 gdbthsde;gdbthsde;\??\c:\windows\system32\drivers\gdbthsde.sys --> c:\windows\system32\drivers\gdbthsde.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gpiucvny;Shell Image;c:\windows\system32\svchost.exe -k netsvcs [14.04.2008 07:53 14336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.07.2011 08:16 136176]
S2 hlbsfmrjp;Windows Image;c:\windows\system32\svchost.exe -k netsvcs [14.04.2008 07:53 14336]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [24.11.2009 15:23 1684736]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.07.2011 08:16 136176]
S3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\programme\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [12.04.2011 07:52 155344]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 

753504]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
hlbsfmrjp
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-25 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-01-22 07:32]
.
2012-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cd39afced80adc.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-07-06 06:16]
.
2012-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-07-06 06:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = ftp=XXX:3128;http=XXX:3128;https=XXX:3128;socks=XXX:1080
uInternet Settings,ProxyOverride = localhost;<local>
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: Interfaces\{F39568A1-E1ED-41CB-80D8-5514023B806E}: NameServer = XXX
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-05-25 07:42
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3756)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2012-05-25  07:43:34
ComboFix-quarantined-files.txt  2012-05-25 05:43
ComboFix2.txt  2012-05-24 13:22
ComboFix3.txt  2012-05-24 12:42
ComboFix4.txt  2012-05-24 08:13
.
Vor Suchlauf: 35 Verzeichnis(se), 14.125.666.304 Bytes frei
Nach Suchlauf: 36 Verzeichnis(se), 14.110.396.416 Bytes frei
.
- - End Of File - - 486ED8801E6CE034575935C2966EAAF7

Nun starte ich den Online-Scan.

Eine Frage schon vorweg, falls der Onlinescan Negativ (also ohne Funde) ist:

Kann MSE weiter auf dem PC verwendet werden?

Beste Grüße
Robert

<-IceD@te-> · 25.05.2012, 08:03

Es gibt da ein Problem:

Dann werden wieder die Lizenzbedingungen angezeigt...

Psychotic · 25.05.2012, 07:52

Zitat:

Kann MSE weiter auf dem PC verwendet werden?

Spricht nix dagegen - wenn ihr ihn so konfiguriert, dass er euren VNC-Server nicht killt!

Psychotic · 25.05.2012, 08:05

Starte neu und versuche es erneut!
ODER, du nimmst firefox!

<-IceD@te-> · 25.05.2012, 08:54

Nach dem Neustart hatte IE immernoch keine Lust auf Eset.

Also hab' ich FF12 installiert, konfiguriert, Eset wie beschrieben installiert und konfiguriert.
Zusätzlich habe ich in den erweiterten Eset-Einstellungen einen Haken bei "Scan for potentially unsafe applications" gesetzt und unseren Proxy eingetragen. Nun läuft der Scan.

Ich hoffe der Scan ist negativ.

Danach habe ich noch Einiges an dem PC zu tun:

* VNC von MSE befreien
* MBAM deinstallieren
* Windows Update ausführen (die Auto-Upds haben möglicherweise nicht funktioniert, da WinHTTP unsere Proxyeinstellungen nicht hatte)
* Updates von mindestens: Java, Adobe Flash
* Die vielen Dateien vom Kampf gegen die 'Verschmutzungen' wieder entfernen

In naher Zukunft muss ich das System dann nochmal säubern, Alles updaten, defragmentieren und Avira Endpoint Security installieren (das haben wir als Unternehmenslösung).
Zwei Fragen dazu:
Sollte ich zusätzlich noch Sicherheitssoftware auf unseren XP-Clients installieren?
Was ist kompatibel mit Avira ES und darf kostenfrei kommerziell genutzt werden?

Beste Grüße
Robert

Psychotic · 25.05.2012, 09:05

Wir kümmern uns im Nachklapp um nicht aktuelle Software sowie die Windows updates, mach einfach mal nur das, was ich sage, sonst kriegen wir u.U. deftige Probleme mit dem System!

<-IceD@te-> · 25.05.2012, 09:14

Zitat:

Zitat von PsYcHoTiC

Wir kümmern uns im Nachklapp um nicht aktuelle Software sowie die Windows updates[...]

Konnte ich ja nicht wissen. Bitte entschuldige - ich wollte nicht voreilig sein, sondern habe nur Überlegungen angestellt.

Psychotic · 25.05.2012, 09:24

Kein Problem, ich wollte lediglich einen etwaigen Alleingang im Keim ersticken!

<-IceD@te-> · 25.05.2012, 09:56

Versteh' schon... Sicherlich muss man bei den meisten Usern auch gleich ordentlich dazwischenkloppen um sie zu bremsen

- ich kenne das!

<-IceD@te-> · 25.05.2012, 10:31

So, Eset ist durch ... und hat scheinbar doch noch einen Bösewicht gefunden.

Hier das Logfile:
Eset_log.txt

Code:

ATTFilter

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VistaCodecs\{146A630B-CF66-4B5E-95BF-478A16039BF3}\Vista Codec Package.msi	Win32/Packed.Autoit.E.Gen application
C:\Programme\VistaCodecPack\Tools\renderer32.exe	Win32/Packed.Autoit.E.Gen application

Warte auf Anweisungen...

Beste Grüße
Robert

25.05.2012, 08:05	#9
Psychotic /// Malwareteam	Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc Starte neu und versuche es erneut! ODER, du nimmst firefox! __________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

25.05.2012, 09:24	#13
Psychotic /// Malwareteam	Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc Kein Problem, ich wollte lediglich einen etwaigen Alleingang im Keim ersticken! __________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc

Plagegeister aller Art und deren Bekämpfung: Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc