Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc

<-IceD@te-> · 22.05.2012, 10:30

Hallo und guten Tag.

Ich arbeite in der EDV-Abteilung eines mittelständischen Unternehmen mit und gestern kam ein Kollege zu mir, dass sein "Internet nicht geht".

Der PC hat MSE (Microsoft Security Essentials) seit Längerem installiert und hat regelmäßig Updates und vereinfachte Systemscans gefahren. Gestern nach Scan in der Mittagspause hat MSE dann mehrere Funde gemeldet, mein Kollege hat das nicht mitbekommen. Er merkte nur dass Outlook spinnt und keine Internetseiten aufgerufen werden können und kam dann zu mir.

Ich habe festgestellt dass C:\WINDOWS\system32\drivers\ipsec.sys von MSE in Quarantäne verschoben wurde und hatte somit die Erklärung für die genannten Fehlfunktionen.

Zusätzlich kann ich folgende Aussagen treffen:
- Der PC läuft mit Windows XP SP3 x86.
- Es wurden regelmäßig (automatisch) Windows Updates installiert
- Es ist eine sehr alte Java-Version installiert (! Version 6 Update 11 oder 12)
- Der Benutzer hat Administratorrechte

Ich habe dann einen vollständigen Systemscan mit MSE laufen lassen - hier die Ergebnisübersicht:

Das ist mir zuviel um es allein zu lösen. Das System sollte nicht neu aufgesetzt werden müssen. Auch wenn es etwas länger dauert, möchte ich versuchen das System zu reinigen.
Ich würde mir zB. zutrauen den TCP/IP-Dienst neu zu installieren wenn das System wieder sauber ist.

Ich habe nun defogger, dds und GMER laufen lassen. Die Logs (attach.txt und gmer_unpersonal.txt) befinden sich als *.ZIP im Anhang. Ich hoffe uns kann geholfen werden, hier der Inhalt der dds.txt (Alle Stellen mit "XXX" sind von mir unkenntlich gemacht):

Code:

ATTFilter

DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 8.0.6001.18702
Run by XXX at 10:20:02 on 2012-05-22
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3326.2737 [GMT 2:00]
.
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\Programme\Microsoft Security Client\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
svchost.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\Brmfcmon\BrMfimon.exe
C:\Programme\Microsoft Security Client\msseces.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\mspaint.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = ftp=XXX:3128;http=XXX:3128;https=XXX:3128;socks=XXX:1080
uInternet Settings,ProxyOverride = <local>;*.local
BHO: Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelper.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Adobe PDF Conversion Toolbar Helper: {ae7cd045-e861-484f-8273-0445ee161910} - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.7.6406.1642\swg.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
TB: {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [swg] "c:\programme\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
uRun: [TomTomHOME.exe] "c:\programme\tomtom home 2\TomTomHOMERunner.exe" -s
uRun: [Ekocurq] "c:\dokumente und einstellungen\XXX\anwendungsdaten\iwos\piofl.exe"
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [nwiz] nwiz.exe /install
mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [KEN Taskbar Client] "c:\programme\ken!\kentbcli.exe"
mRun: [Acrobat Assistant 7.0] "c:\programme\adobe\acrobat 7.0\distillr\Acrotray.exe"
mRun: [<NO NAME>] 
mRun: [Google Updater] "c:\programme\google\google updater\GoogleUpdater.exe" -systray -startup
mRun: [SSBkgdUpdate] "c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate\SSBkgdupdate.exe" -Embedding -boot
mRun: [PaperPort PTD] "c:\programme\scansoft\paperport\pptd40nt.exe"
mRun: [IndexSearch] "c:\programme\scansoft\paperport\IndexSearch.exe"
mRun: [PPort11reminder] "c:\programme\scansoft\paperport\ereg\ereg.exe" -r "c:\dokumente und einstellungen\all users\anwendungsdaten\scansoft\paperport\11\config\ereg\Ereg.ini"
mRun: [BrMfcWnd] c:\programme\brother\brmfcmon\BrMfcWnd.exe /AUTORUN
mRun: [ControlCenter3] c:\programme\brother\controlcenter3\brctrcen.exe /autorun
mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe
mRun: [Adobe Reader Speed Launcher] "c:\programme\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
mRun: [MSC] "c:\programme\microsoft security client\msseces.exe" -hide -runkey
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\adobea~1.lnk - c:\windows\installer\{ac76ba86-1033-f400-ba7e-000000000002}\SC_Acrobat.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\corelm~1.lnk - c:\corel\graphics8\programs\MFIndexer.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\micros~1.lnk - c:\programme\microsoft office\office\OSA9.EXE
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\window~1.lnk - c:\programme\windows desktop search\WindowsSearch.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\winzip~1.lnk - c:\programme\winzip\WZQKPICK.EXE
dPolicies-explorer: NoDesktopCleanupWizard = 1 (0x1)
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - c:\programme\google\google toolbar\component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
IE: In Adobe PDF konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
LSP: mswsock.dll
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1259073134796
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///E:/CDVIEWER/CdViewer.cab
TCP: Interfaces\{F39568A1-E1ED-41CB-80D8-5514023B806E} : NameServer = 172.16.10.23
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Windows Desktop Search Namespace Manager: {56f9679e-7826-4c84-81f3-532071a8bcc5} - c:\programme\windows desktop search\MSNLNamespaceMgr.dll
.
============= SERVICES / DRIVERS ===============
.
R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [2009-11-24 18208]
R0 MpFilter;Microsoft Malware Protection Driver;c:\windows\system32\drivers\MpFilter.sys [2012-3-20 171064]
S1 gdbthsde;gdbthsde;\??\c:\windows\system32\drivers\gdbthsde.sys --> c:\windows\system32\drivers\gdbthsde.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gpiucvny;Shell Image;c:\windows\system32\svchost.exe -k netsvcs [2008-4-14 14336]
S2 gupdate;Google Update Service (gupdate);c:\programme\google\update\GoogleUpdate.exe [2011-7-6 136176]
S2 hlbsfmrjp;Windows Image;c:\windows\system32\svchost.exe -k netsvcs [2008-4-14 14336]
S2 KEN Client Service;AVM KEN Klient;c:\programme\ken!\kencli.exe [2009-11-25 167936]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-11-24 1684736]
S3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\programme\sony ericsson\sony ericsson pc companion\PCCService.exe [2011-4-12 155344]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== Created Last 30 ================
.
2012-05-22 07:13:20    --------    d-----w-    C:\EDV
2012-05-21 11:36:40    --------    d-----w-    c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\PCHealth
2012-05-21 11:20:09    --------    d-----w-    C:\Halde
2012-05-21 05:41:17    6737808    ----a-w-    c:\dokumente und einstellungen\all users\anwendungsdaten\microsoft\microsoft antimalware\definition updates\{9e8e5cab-05d6-4010-9497-9ae2419822ca}\mpengine.dll
2012-05-14 12:05:17    6734704    ----a-w-    c:\dokumente und einstellungen\all users\anwendungsdaten\microsoft\microsoft antimalware\definition updates\backup\mpengine.dll
2012-05-14 12:05:17    237072    ------w-    c:\windows\system32\MpSigStub.exe
2012-05-14 12:03:20    --------    d-----w-    c:\programme\Microsoft Security Client
2012-05-14 11:51:53    --------    d-----w-    c:\windows\system32\MpEngineStore
2012-05-14 11:20:21    --------    d-----w-    c:\dokumente und einstellungen\XXX\anwendungsdaten\Ukxeuc
2012-05-14 11:20:21    --------    d-----w-    c:\dokumente und einstellungen\XXX\anwendungsdaten\Iwos
2012-05-14 11:20:21    --------    d-----w-    c:\dokumente und einstellungen\XXX\anwendungsdaten\Heisyq
2012-05-14 11:18:57    --------    d-----w-    c:\dokumente und einstellungen\all users\anwendungsdaten\F4D561EA000155CA000062EED151FC4E
2012-05-07 08:10:57    --------    d-----w-    c:\dokumente und einstellungen\all users\anwendungsdaten\Lexware
2012-05-07 08:10:27    1929216    ----a-w-    c:\windows\system32\cdintf250.dll
2012-05-07 08:03:55    --------    d-----w-    c:\programme\gemeinsame dateien\Lexware
2012-05-07 08:03:53    --------    d-----w-    c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\Lexware
.
==================== Find3M  ====================
.
2012-05-11 08:29:37    2581    ----a-w-    c:\windows\panose.bin
2012-05-10 05:27:40    419488    ----a-w-    c:\windows\system32\FlashPlayerApp.exe
2012-05-10 05:27:39    70304    ----a-w-    c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-20 18:44:12    171064    ----a-w-    c:\windows\system32\drivers\MpFilter.sys
2003-06-19 10:05:04    431888    --s-a-w-    c:\programme\gemeinsame dateien\riched20.dll
.
============= FINISH: 10:20:24,53 ===============

--- --- ---
Sehr ärgerlich das Alles, wo ich doch gerade dabei bin Avira Endpoint Security in der gesamten Firma zu installieren (inklusive vollständige Aktualisierung, Reinigung etc. aller PCs)... Der betroffene PC wäre ab heut' dran gewesen mit der Auffrischung.

Beste Grüße
Robert

Psychotic · 22.05.2012, 11:02

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Da hat sich der Herr Kollege einen der garstigsten Schädlinge überhaupt eingefangen - und die Standardantwort auf den befalnnen IPSEC-Treiber durch MSE war (wie immer) löschen.

Das wieder gradezubiegen, wird nervig!

Bitte zunächst ein Fullbackup des Systems ziehen (per Live CD, ich empfehle hier Acronis TrueImage), falls alle Stricke reißen sollten.

Dann geht es hier weiter:

Schritt 1: Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Schritt 2: MBAM

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen.(Hinweis: Alle Festplatten anhaken!
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3: FSS

Downloade dir bitte Farbar's Service Scanner

Starte das Tool mit Doppelklick auf die FSS.exe
Gehe sicher, dass folgende Optionen angehakt sind.
- Internet Services
- Windows Firewall
- System Restore
Klicke auf Scan.
Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

<-IceD@te-> · 22.05.2012, 11:54

Hallo Marius.

Vielen Dank für die schnelle Rückmeldung. Ich mache mich jetzt an die Sicherung per Acronis.

Die HDD hat eine zweite Partition auf der noch fast 90GB frei sind - kann die Sicherung dort hin oder sollte ich besser nach extern sichern?

Kann ich den PC wieder ans LAN anbinden oder besteht Verbreitungsgefahr der Schädlinge? Meine Überlegung geht dahin, dass ich ja nun gar keine Internetverbindung habe, um die Schritte 1 bis 3 durchzuführen...

Psychotic · 22.05.2012, 12:26

Nein, sichere nach extern, sofern möglich!

Du kannst den Rechner ans LAN anbinden!

<-IceD@te-> · 22.05.2012, 14:56

So, nachdem ich endlich eine Möglichkeit gefunden haben die 70GB große Sicherung extern abzulegen, ist nun erstmal Feierabend.

Morgen früh um 7 Uhr starte ich Sicherung und wenn Alles klappt poste ich morgen gegen Mittag die nächsten Logs.

Sollten noch Probleme auftauchen, melde ich mich vorher nochmal.

Beste Grüße
Robert

Kurzes Update: Die Validierung des Backups dauert noch ca. 26000 Tage, laut Anzeige...

Ich werde die Validierung laufen lassen und wenn dann endlich klar ist dass das Backup erfolgreich war, werde ich morgen früh die weiteren Scans starten!

Beste Grüße
Robert

<-IceD@te-> · 24.05.2012, 07:42

So, das Backup ist gültig - nun kanns los gehen! Kann ich mit USB-Stick arbeiten? Das Netzwerk / Internet funktioniert ja wegen fehlender ipsec.sys nicht...

... im Moment schiebe ich die Programme mit einer Multisession-CD-R rüber.

Psychotic · 24.05.2012, 07:47

Ja, du kannst mit Stick arbeiten!

Hatte mich schon gewundert, dass das via LAN funktioniert!

<-IceD@te-> · 24.05.2012, 10:03

Neuester Stand:

Ich habe ComboFix von Mirror2 auf CD gebrannt, auf den Desktop kopiert und gestartet... Nichts ist passiert.

Dann hab' ich ComboFix nochmal von Mirror1 geholt (die Datei ist etwas größer und hat ein Symbol - der erste Download war wohl fehlerhaft

) und per USB-Stick auf den Desktop kopiert und gestartet...

Meldung sinngemäß: "Keine Wiederherstellungskonsole gefunden - Downloaden und installieren?". Habe "nein" gewählt.

Den gestarteten Scan habe ich dann sofort per [X] abgebrochen und erstmal von der XP-CD die Konsole nachinstalliert per <CD-Laufwerksbuchstabe>:\i386\winnt32.exe /cmdcons

Dann habe ich ComboFix gestartet.

Nach einer Weile wurde die Meldung "ComboFix hat die Anwesenheit von Rootkitaktivitaeten festgestellt und muss nun den PC neustarten:" angezeigt.

Nach Drücken auf "OK" wurde der Neustart ausgeführt und ComboFix wieder gestartet.

Irgendwann hat der PC dann von allein einen 2. Neustart gemacht und nach Anmeldung waren plötzlich alle netzwerkabhängigen Anwendungen wieder aktiv.

Hier nun die ComboFix-Logfiles:

ComboFix-quarantined-files_impersonal.txt (impersonal bedeutet dass ich Benutzernamen mit XXX unkenntlich gemacht habe

)

Code:

ATTFilter

2012-05-24 08:12:21 . 2012-05-24 08:12:21              486 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-EAGLE 4.16.reg.dat
2012-05-24 08:12:21 . 2012-05-24 08:12:21              632 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-AVM KEN!.reg.dat
2012-05-24 08:12:21 . 2012-05-24 08:12:21              662 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-Adobe Type Manager 4.1.reg.dat
2012-05-24 08:12:21 . 2012-05-24 08:12:21            1,746 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-Adobe PageMaker 7.0.reg.dat
2012-05-24 08:12:15 . 2012-05-24 08:12:15              534 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-WudfRd.reg.dat
2012-05-24 08:12:15 . 2012-05-24 08:12:15              534 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-WudfPf.reg.dat
2012-05-24 08:12:07 . 2012-05-24 08:12:07              169 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-Ekocurq.reg.dat
2012-05-24 08:12:07 . 2012-05-24 08:12:07              157 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-TomTomHOME.exe.reg.dat
2012-05-24 08:12:07 . 2012-05-24 08:12:07              171 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat
2012-05-24 08:03:08 . 2012-05-24 08:03:08              218 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB45765$\_314316591_.zip
2012-05-24 08:02:16 . 2012-05-24 08:02:16            7,427 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2012-05-24 07:16:59 . 2012-05-24 08:03:33              819 ----a-w-  C:\Qoobox\Quarantine\catchme.log
2012-05-14 11:19:07 . 2012-05-14 11:19:07            2,048 -c--a-w-  C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB45765$\2662870141\@.vir
2012-05-14 11:19:07 . 2012-05-14 11:19:07               26 -c--a-w-  C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB45765$\2662870141\cfg.ini.vir
2012-05-14 11:19:07 . 2012-05-21 05:35:11            4,608 -c--a-w-  C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB45765$\2662870141\Desktop.ini.vir
2012-05-14 11:19:07 . 2012-05-14 11:19:07           75,264 -c--a-w-  C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB45765$\2662870141\L\egqqvfdc.vir
2011-03-16 13:13:31 . 2011-03-16 13:13:31            7,168 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\system32\Thumbs.db.vir
2011-03-09 13:00:01 . 2011-03-09 13:00:01                0 ----a-w-  C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\XXX\Anwendungsdaten\Heisyq\exqim.cea.vir
2010-09-13 07:58:13 . 2011-10-04 08:16:46           14,848 ----a-w-  C:\Qoobox\Quarantine\C\Thumbs.db.vir
2009-12-22 15:35:47 . 2009-12-22 15:35:48              739 ----a-w-  C:\Qoobox\Quarantine\C\ipconfig.txt.vir
2009-12-04 10:09:19 . 2000-05-24 14:02:40          299,008 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\unin0407.exe.vir
2009-11-25 13:20:14 . 1998-11-17 10:44:44          328,704 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\IsUn0407.exe.vir
2002-10-22 13:22:14 . 2002-10-22 13:22:14          226,304 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\system32\dbcdbf32.dll.vir
2002-08-20 10:02:14 . 2002-08-20 10:02:14          133,120 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\system32\zip32.dll.vir

ComboFix_log_impersonal.txt

Code:

ATTFilter

ComboFix 12-05-23.06 - XXX 24.05.2012   9:58.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\XXX\Anwendungsdaten\Heisyq
c:\dokumente und einstellungen\XXX\Anwendungsdaten\Heisyq\exqim.cea
c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\assembly\tmp
c:\dokumente und einstellungen\XXX\WINDOWS
C:\ipconfig.txt
C:\Thumbs.db
c:\windows\$NtUninstallKB45765$
c:\windows\$NtUninstallKB45765$\2662870141\@
c:\windows\$NtUninstallKB45765$\2662870141\cfg.ini
c:\windows\$NtUninstallKB45765$\2662870141\Desktop.ini
c:\windows\$NtUninstallKB45765$\2662870141\L\egqqvfdc
c:\windows\$NtUninstallKB45765$\314316591
c:\windows\IsUn0407.exe
c:\windows\system32\dbcdbf32.dll
c:\windows\system32\Thumbs.db
c:\windows\system32\zip32.dll
c:\windows\unin0407.exe
.
c:\windows\system32\drivers\ipsec.sys fehlte 
Kopie von - c:\windows\system32\dllcache\ipsec.sys wurde wiederhergestellt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-04-24 bis 2012-05-24  ))))))))))))))))))))))))))))))
.
.
2012-05-24 08:03 . 2008-04-13 22:49	75264	-c--a-w-	c:\windows\system32\dllcache\ipsec.sys
2012-05-24 08:03 . 2008-04-13 22:49	75264	----a-w-	c:\windows\system32\drivers\ipsec.sys
2012-05-22 09:48 . 2012-05-08 16:40	6737808	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C13A79DC-A9B8-479A-B30A-8A78E9F6F521}\mpengine.dll
2012-05-22 07:13 . 2012-05-22 07:13	--------	d-----w-	C:\EDV
2012-05-21 11:36 . 2012-05-21 11:36	--------	d-----w-	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-05-21 11:20 . 2012-05-21 11:20	--------	d-----w-	C:\Halde
2012-05-14 12:05 . 2012-04-18 01:06	6734704	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-05-14 12:05 . 2012-02-23 08:18	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-05-14 12:03 . 2012-05-22 09:50	--------	d-----w-	c:\programme\Microsoft Security Client
2012-05-14 11:51 . 2012-05-14 11:52	--------	d-----w-	c:\windows\system32\MpEngineStore
2012-05-14 11:20 . 2012-05-14 11:53	--------	d-----w-	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Iwos
2012-05-14 11:20 . 2012-05-14 11:39	--------	d-----w-	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Ukxeuc
2012-05-14 11:18 . 2012-05-14 11:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\F4D561EA000155CA000062EED151FC4E
2012-05-07 08:10 . 2012-05-14 11:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware
2012-05-07 08:10 . 2006-06-26 13:58	1929216	----a-w-	c:\windows\system32\cdintf250.dll
2012-05-07 08:08 . 2012-05-07 08:08	--------	d-----w-	c:\programme\Microsoft.NET
2012-05-07 08:03 . 2012-05-14 11:34	--------	d-----w-	c:\programme\Gemeinsame Dateien\Lexware
2012-05-07 08:03 . 2012-05-07 08:12	--------	d-----w-	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Lexware
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-10 05:27 . 2012-04-05 05:14	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-10 05:27 . 2011-06-08 05:49	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-20 18:44 . 2012-03-20 18:44	171064	----a-w-	c:\windows\system32\drivers\MpFilter.sys
2003-06-19 10:05 . 2003-06-19 10:05	431888	--s-a-w-	c:\programme\Gemeinsame Dateien\riched20.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-22 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"KEN Taskbar Client"="c:\programme\KEN!\kentbcli.exe" [2007-02-07 262144]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"Google Updater"="c:\programme\Google\Google Updater\GoogleUpdater.exe" [2010-01-22 160752]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2008-04-11 1085440]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-BA7E-000000000002}\SC_Acrobat.exe [2009-12-2 25214]
Corel MEDIA FOLDERS INDEXER 8.LNK - c:\corel\Graphics8\Programs\MFIndexer.exe [2009-12-2 82944]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2011-8-30 106561]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Brother\\Brmfl08d\\FAXRX.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"139:TCP"= 139:TCP:172.16.10.0/255.255.255.0,172.16.30.0/255.255.255.0:Enabled:@xpsp2res.dll,-22004
"445:TCP"= 445:TCP:172.16.10.0/255.255.255.0,172.16.30.0/255.255.255.0:Enabled:@xpsp2res.dll,-22005
"137:UDP"= 137:UDP:172.16.10.0/255.255.255.0,172.16.30.0/255.255.255.0:Enabled:@xpsp2res.dll,-22001
"138:UDP"= 138:UDP:172.16.10.0/255.255.255.0,172.16.30.0/255.255.255.0:Enabled:@xpsp2res.dll,-22002
"54925:UDP"= 54925:UDP:BrotherNetwork Scanner
"5220:TCP"= 5220:TCP:paadshg
"4430:TCP"= 4430:TCP:eumex401
.
R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [24.11.2009 18:39 18208]
R2 KEN Client Service;AVM KEN Klient;c:\programme\KEN!\kencli.exe [25.11.2009 15:20 167936]
S1 gdbthsde;gdbthsde;\??\c:\windows\system32\drivers\gdbthsde.sys --> c:\windows\system32\drivers\gdbthsde.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gpiucvny;Shell Image;c:\windows\system32\svchost.exe -k netsvcs [14.04.2008 07:53 14336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.07.2011 08:16 136176]
S2 hlbsfmrjp;Windows Image;c:\windows\system32\svchost.exe -k netsvcs [14.04.2008 07:53 14336]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [24.11.2009 15:23 1684736]
S3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\programme\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [12.04.2011 07:52 155344]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
hlbsfmrjp
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-24 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-01-22 07:32]
.
2012-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-07-06 06:16]
.
2012-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-07-06 06:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = ftp=172.16.10.18:3128;http=172.16.10.18:3128;https=172.16.10.18:3128;socks=172.16.10.18:1080
uInternet Settings,ProxyOverride = *.local;<local>
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: Interfaces\{F39568A1-E1ED-41CB-80D8-5514023B806E}: NameServer = 172.16.10.23
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-TomTomHOME.exe - c:\programme\TomTom HOME 2\TomTomHOMERunner.exe
HKCU-Run-Ekocurq - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Iwos\piofl.exe
SafeBoot-WudfPf
SafeBoot-WudfRd
AddRemove-Adobe PageMaker 7.0 - c:\windows\ISUN0407.EXE
AddRemove-Adobe Type Manager 4.1 - c:\windows\unin0407.exe
AddRemove-AVM KEN! - c:\windows\ISUN0407.EXE
AddRemove-EAGLE 4.16 - c:\windows\unin0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-05-24 10:09
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(652)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\corel\Graphics8\programs\CMFFld80.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Microsoft Security Client\MsMpEng.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Canon\IJPLM\IJPLMSVC.EXE
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\SearchIndexer.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\windows\system32\SearchProtocolHost.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\Brother\ControlCenter3\brccMCtl.exe
c:\programme\Brother\Brmfcmon\BrMfimon.exe
c:\programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
c:\progra~1\GEMEIN~1\MICROS~1\DW\DW20.EXE
c:\windows\system32\SearchFilterHost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-05-24  10:12:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-05-24 08:12
.
Vor Suchlauf: 35 Verzeichnis(se), 10.845.577.216 Bytes frei
Nach Suchlauf: 36 Verzeichnis(se), 12.101.001.216 Bytes frei
.
- - End Of File - - CB4697F26EDE870C64A011C3A816791C

Für mich sieht es aus, als wären da auch ein paar Sachen entfernt worden, die in Ordnung sind... kann das sein?

Soll ich nun mit MBAM fortfahren?

Beste Grüße
Robert

Psychotic · 24.05.2012, 10:17

Zitat:

Für mich sieht es aus, als wären da auch ein paar Sachen entfernt worden, die in Ordnung sind... kann das sein?

Das sieht in der Tat so aus - tatsächlich ist es aber das Werk dieses hinterhältigen Schädlings. Auch für versierte User sieht es aus, als handele es sich um Systemdateien...

----

weiter mit den anderen Schritten!

<-IceD@te-> · 24.05.2012, 10:57

So, MBAM ist aktualisiert und läuft...

Wegen eventuell ungerechtfertigten Löschungen / Quarantäne durch ComboFix:

zB. sieht 2012-05-24 08:02:16 . 2012-05-24 08:02:16 7,427 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg ganz stark nach einer Sicherung von Registrydaten von meinem EDV-Kollegen aus. So eine Sicherung macht man ja nicht ohne Grund, daher würde ich die Datei gern behalten.
Oder ist es möglich dass ein Schadprogramm irgendwann mal einen Reg-Eintrag verändert hat, der "schlechte" Eintrag wurde von meinem Kollegen gesichert und ausgebessert und nun merkt ComboFix, dass da was Schlechtes in der Sicherung steht?
Ist "Registry_backups" eigentlich ein Systemordner?

Psychotic · 24.05.2012, 11:04

Nein!

Registry_backups ist ein Ordner, in dem combofix alles hinterlegt, was es in der Registry als schädlich erkannt und deshalb entfernt hat. Ich würde dir empfehlen, vom Backup eines verseuchten registry-Eintrags tunlichst die finger zu lassen!

<-IceD@te-> · 24.05.2012, 11:15

Gut, Danke für die Info!

Ich habe gerade gesehen, dann in meinem Eröffnungspost das Bild mit den MSE-Ergebnissen nicht angezeigt wird:

Da müssen wir noch schauen, ob da etwas zu Unrecht kaltgestellt wurde, wie zB. Win32/RealVNC - das ist doch einfach nur unser Remotezugriff... oder kann das auch verseucht sein?

Beste Grüße
Robert

<-IceD@te-> · 24.05.2012, 12:31

Finished the three Steps:

mbam-log-2012-05-24 (11-44-32)_impersonal.txt

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.24.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Xxx :: XXX [Administrator]

Schutz: Aktiviert

24.05.2012 11:44:32
mbam-log-2012-05-24 (11-44-32).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen: 
Durchsuchte Objekte: 535045
Laufzeit: 1 Stunde(n), 16 Minute(n), 

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

FSS_Impersonal.txt

Code:

ATTFilter

Farbar Service Scanner Version: 17-05-2012
Ran by XXX (administrator) on 24-05-2012 at 13:19:57
Running from "C:\Dokumente und Einstellungen\XXX\Desktop"
Microsoft Windows XP Professional Service Pack 3 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Attempt to access Google IP returned error: Google IP is unreachable
Attempt to access Yahoo IP returned error: Yahoo IP is offline


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Disabled Policy: 
========================


File Check:
========
C:\WINDOWS\system32\dhcpcsvc.dll
[2008-04-14 07:52] - [2008-04-14 07:52] - 0127488 ____A (Microsoft Corporation) C29A1C9B75BA38FA37F8C44405DEC360

C:\WINDOWS\system32\Drivers\afd.sys
[2008-04-14 00:49] - [2008-10-16 16:43] - 0138496 ____A (Microsoft Corporation) 7618D5218F2A614672EC61A80D854A37

C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
C:\WINDOWS\system32\dnsrslvr.dll
[2008-04-14 07:52] - [2009-04-20 19:17] - 0045568 ____A (Microsoft Corporation) 407F3227AC618FD1CA54B335B083DE07

C:\WINDOWS\system32\ipnathlp.dll
[2008-04-14 07:52] - [2008-04-21 20:44] - 0333824 ____A (Microsoft Corporation) F96D196D81A92A6C55178F3F49B227A1

C:\WINDOWS\system32\netman.dll
[2008-04-14 07:52] - [2008-04-14 07:52] - 0198144 ____A (Microsoft Corporation) E6D88F1F6745BF00B57E7855A2AB696C

C:\WINDOWS\system32\wbem\WMIsvc.dll
[2009-11-24 15:06] - [2008-04-14 07:52] - 0145408 ____A (Microsoft Corporation) 6F3F3973D97714CC5F906A19FE883729

C:\WINDOWS\system32\srsvc.dll
[2009-11-24 15:08] - [2008-04-14 07:52] - 0171520 ____A (Microsoft Corporation) FE77A85495065F3AD59C5C65B6C54182

C:\WINDOWS\system32\Drivers\sr.sys
[2009-11-24 15:08] - [2008-04-14 07:32] - 0073472 ____A (Microsoft Corporation) 50FA898F8C032796D3B1B9951BB5A90F

C:\WINDOWS\system32\svchost.exe
[2008-04-14 07:53] - [2008-04-14 07:53] - 0014336 ____A (Microsoft Corporation) 4FBC75B74479C7A6F829E0CA19DF3366

C:\WINDOWS\system32\rpcss.dll
[2008-04-14 07:52] - [2009-02-09 12:54] - 0401408 ____A (Microsoft Corporation) D3D765E8455A961AE567B408F767D4F9

C:\WINDOWS\system32\services.exe
[2008-04-14 07:53] - [2009-02-09 13:14] - 0111104 ____A (Microsoft Corporation) F0A7D59AF279326528715B206669B86C


Extra List:
=======
Gpc(3) IPSec(5) NetBT(6) PSched(7) Tcpip(4) 
0x0700000005000000010000000200000003000000040000000600000007000000
IpSec Tag value is correct.

**** End of log ****

Sieht doch ganz gut aus oder? Wie gehts jetzt weiter?

Psychotic · 24.05.2012, 12:39

Sagen dir die beiden, in der Firewall geöffneten ports etwas?

Zitat:

"5220:TCP"= 5220:TCP:paadshg
"4430:TCP"= 4430:TCP:eumex401

Der untere deutet auf eine Eumex 401 telefonanlage hin, habt ihr eine solche?

Bitte Klärung herbeiführen, sonst töten wir die beiden Einträge!

<-IceD@te-> · 24.05.2012, 13:01

Beide Einträge sind unbekannter Herkunft und werden von uns nicht benötigt!

22.05.2012, 12:26	#4
Psychotic /// Malwareteam	Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc Nein, sichere nach extern, sofern möglich! Du kannst den Rechner ans LAN anbinden! __________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc

Plagegeister aller Art und deren Bekämpfung: Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc