Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc

<-IceD@te-> · 22.05.2012, 10:30

Hallo und guten Tag.

Ich arbeite in der EDV-Abteilung eines mittelständischen Unternehmen mit und gestern kam ein Kollege zu mir, dass sein "Internet nicht geht".

Der PC hat MSE (Microsoft Security Essentials) seit Längerem installiert und hat regelmäßig Updates und vereinfachte Systemscans gefahren. Gestern nach Scan in der Mittagspause hat MSE dann mehrere Funde gemeldet, mein Kollege hat das nicht mitbekommen. Er merkte nur dass Outlook spinnt und keine Internetseiten aufgerufen werden können und kam dann zu mir.

Ich habe festgestellt dass C:\WINDOWS\system32\drivers\ipsec.sys von MSE in Quarantäne verschoben wurde und hatte somit die Erklärung für die genannten Fehlfunktionen.

Zusätzlich kann ich folgende Aussagen treffen:
- Der PC läuft mit Windows XP SP3 x86.
- Es wurden regelmäßig (automatisch) Windows Updates installiert
- Es ist eine sehr alte Java-Version installiert (! Version 6 Update 11 oder 12)
- Der Benutzer hat Administratorrechte

Ich habe dann einen vollständigen Systemscan mit MSE laufen lassen - hier die Ergebnisübersicht:

Das ist mir zuviel um es allein zu lösen. Das System sollte nicht neu aufgesetzt werden müssen. Auch wenn es etwas länger dauert, möchte ich versuchen das System zu reinigen.
Ich würde mir zB. zutrauen den TCP/IP-Dienst neu zu installieren wenn das System wieder sauber ist.

Ich habe nun defogger, dds und GMER laufen lassen. Die Logs (attach.txt und gmer_unpersonal.txt) befinden sich als *.ZIP im Anhang. Ich hoffe uns kann geholfen werden, hier der Inhalt der dds.txt (Alle Stellen mit "XXX" sind von mir unkenntlich gemacht):

Code:

ATTFilter

DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 8.0.6001.18702
Run by XXX at 10:20:02 on 2012-05-22
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3326.2737 [GMT 2:00]
.
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\Programme\Microsoft Security Client\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
svchost.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\Brmfcmon\BrMfimon.exe
C:\Programme\Microsoft Security Client\msseces.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\mspaint.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = ftp=XXX:3128;http=XXX:3128;https=XXX:3128;socks=XXX:1080
uInternet Settings,ProxyOverride = <local>;*.local
BHO: Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelper.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Adobe PDF Conversion Toolbar Helper: {ae7cd045-e861-484f-8273-0445ee161910} - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.7.6406.1642\swg.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
TB: {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [swg] "c:\programme\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
uRun: [TomTomHOME.exe] "c:\programme\tomtom home 2\TomTomHOMERunner.exe" -s
uRun: [Ekocurq] "c:\dokumente und einstellungen\XXX\anwendungsdaten\iwos\piofl.exe"
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [nwiz] nwiz.exe /install
mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [KEN Taskbar Client] "c:\programme\ken!\kentbcli.exe"
mRun: [Acrobat Assistant 7.0] "c:\programme\adobe\acrobat 7.0\distillr\Acrotray.exe"
mRun: [<NO NAME>] 
mRun: [Google Updater] "c:\programme\google\google updater\GoogleUpdater.exe" -systray -startup
mRun: [SSBkgdUpdate] "c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate\SSBkgdupdate.exe" -Embedding -boot
mRun: [PaperPort PTD] "c:\programme\scansoft\paperport\pptd40nt.exe"
mRun: [IndexSearch] "c:\programme\scansoft\paperport\IndexSearch.exe"
mRun: [PPort11reminder] "c:\programme\scansoft\paperport\ereg\ereg.exe" -r "c:\dokumente und einstellungen\all users\anwendungsdaten\scansoft\paperport\11\config\ereg\Ereg.ini"
mRun: [BrMfcWnd] c:\programme\brother\brmfcmon\BrMfcWnd.exe /AUTORUN
mRun: [ControlCenter3] c:\programme\brother\controlcenter3\brctrcen.exe /autorun
mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe
mRun: [Adobe Reader Speed Launcher] "c:\programme\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
mRun: [MSC] "c:\programme\microsoft security client\msseces.exe" -hide -runkey
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\adobea~1.lnk - c:\windows\installer\{ac76ba86-1033-f400-ba7e-000000000002}\SC_Acrobat.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\corelm~1.lnk - c:\corel\graphics8\programs\MFIndexer.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\micros~1.lnk - c:\programme\microsoft office\office\OSA9.EXE
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\window~1.lnk - c:\programme\windows desktop search\WindowsSearch.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\winzip~1.lnk - c:\programme\winzip\WZQKPICK.EXE
dPolicies-explorer: NoDesktopCleanupWizard = 1 (0x1)
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - c:\programme\google\google toolbar\component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
IE: In Adobe PDF konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
LSP: mswsock.dll
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1259073134796
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///E:/CDVIEWER/CdViewer.cab
TCP: Interfaces\{F39568A1-E1ED-41CB-80D8-5514023B806E} : NameServer = 172.16.10.23
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Windows Desktop Search Namespace Manager: {56f9679e-7826-4c84-81f3-532071a8bcc5} - c:\programme\windows desktop search\MSNLNamespaceMgr.dll
.
============= SERVICES / DRIVERS ===============
.
R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [2009-11-24 18208]
R0 MpFilter;Microsoft Malware Protection Driver;c:\windows\system32\drivers\MpFilter.sys [2012-3-20 171064]
S1 gdbthsde;gdbthsde;\??\c:\windows\system32\drivers\gdbthsde.sys --> c:\windows\system32\drivers\gdbthsde.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gpiucvny;Shell Image;c:\windows\system32\svchost.exe -k netsvcs [2008-4-14 14336]
S2 gupdate;Google Update Service (gupdate);c:\programme\google\update\GoogleUpdate.exe [2011-7-6 136176]
S2 hlbsfmrjp;Windows Image;c:\windows\system32\svchost.exe -k netsvcs [2008-4-14 14336]
S2 KEN Client Service;AVM KEN Klient;c:\programme\ken!\kencli.exe [2009-11-25 167936]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-11-24 1684736]
S3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\programme\sony ericsson\sony ericsson pc companion\PCCService.exe [2011-4-12 155344]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== Created Last 30 ================
.
2012-05-22 07:13:20    --------    d-----w-    C:\EDV
2012-05-21 11:36:40    --------    d-----w-    c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\PCHealth
2012-05-21 11:20:09    --------    d-----w-    C:\Halde
2012-05-21 05:41:17    6737808    ----a-w-    c:\dokumente und einstellungen\all users\anwendungsdaten\microsoft\microsoft antimalware\definition updates\{9e8e5cab-05d6-4010-9497-9ae2419822ca}\mpengine.dll
2012-05-14 12:05:17    6734704    ----a-w-    c:\dokumente und einstellungen\all users\anwendungsdaten\microsoft\microsoft antimalware\definition updates\backup\mpengine.dll
2012-05-14 12:05:17    237072    ------w-    c:\windows\system32\MpSigStub.exe
2012-05-14 12:03:20    --------    d-----w-    c:\programme\Microsoft Security Client
2012-05-14 11:51:53    --------    d-----w-    c:\windows\system32\MpEngineStore
2012-05-14 11:20:21    --------    d-----w-    c:\dokumente und einstellungen\XXX\anwendungsdaten\Ukxeuc
2012-05-14 11:20:21    --------    d-----w-    c:\dokumente und einstellungen\XXX\anwendungsdaten\Iwos
2012-05-14 11:20:21    --------    d-----w-    c:\dokumente und einstellungen\XXX\anwendungsdaten\Heisyq
2012-05-14 11:18:57    --------    d-----w-    c:\dokumente und einstellungen\all users\anwendungsdaten\F4D561EA000155CA000062EED151FC4E
2012-05-07 08:10:57    --------    d-----w-    c:\dokumente und einstellungen\all users\anwendungsdaten\Lexware
2012-05-07 08:10:27    1929216    ----a-w-    c:\windows\system32\cdintf250.dll
2012-05-07 08:03:55    --------    d-----w-    c:\programme\gemeinsame dateien\Lexware
2012-05-07 08:03:53    --------    d-----w-    c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\Lexware
.
==================== Find3M  ====================
.
2012-05-11 08:29:37    2581    ----a-w-    c:\windows\panose.bin
2012-05-10 05:27:40    419488    ----a-w-    c:\windows\system32\FlashPlayerApp.exe
2012-05-10 05:27:39    70304    ----a-w-    c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-20 18:44:12    171064    ----a-w-    c:\windows\system32\drivers\MpFilter.sys
2003-06-19 10:05:04    431888    --s-a-w-    c:\programme\gemeinsame dateien\riched20.dll
.
============= FINISH: 10:20:24,53 ===============

--- --- ---
Sehr ärgerlich das Alles, wo ich doch gerade dabei bin Avira Endpoint Security in der gesamten Firma zu installieren (inklusive vollständige Aktualisierung, Reinigung etc. aller PCs)... Der betroffene PC wäre ab heut' dran gewesen mit der Auffrischung.

Beste Grüße
Robert

Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc

Plagegeister aller Art und deren Bekämpfung: Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc

Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc

Ähnliche Themen: Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc