Microsoft Security Essentials bringt jeden Tag Backdoor:PHP/ Meldungen

MVieweger

Hallo ihr Trojaner-Board User,

wir haben ein Problem mit unserem Webserver und ich komme nicht mehr weiter. Ich habe stundenlang versucht Google zu bemühen aber leider ohne Erfolg. Wir haben folgenden Webserver:

Windows Server 2008 R2
Service Pack 1
64 Bit Version

Auf diesem Server laufen zwei Hauptwebseiten eine mit https die andere auf http (WordPress). WordPress läuft seit ca 1 Woche ganz neu bei uns und wird von einer Fremdfirma bedient. Die Untenstehende Fehler sind aber vor WordPress schon aufgetreten.
Ich selbst Programmiere in PHP ein Tool welches das Unternehmen nutzt (aus Sicherheitsgründen will ich da nicht weiter eingehen).
Dazu ist der Server mit Parallels/ Plesk eingerichtet. PHP läuft auf der Version 5.4.23 und Plesk 11.5.30.

Auf diesem Server läuft wie oben angeben Microsoft Security Essentials mit:

"Virus definition version": 1.203.634.0
"Spyware Version": 1.203.634.0

Ich habe das Programm so eingestellt das jede Nacht ein Full Scan gemacht wird. Wenn ich jetzt Früh den Server kontrolliere dann findet das Programm (aber wirklich jeden früh) folgende Schädlinge:

Backdoor:PHP/SimpleShell.A
Backdoor:PHP/C99shell.I
Backdoor:PHP/WebShell.A
Backdoor:PHP/Rahra.A
Backdoor:PHP/SimpleShell.A


"SimpleShell.A" (Meldung des MSSE):
Category: Backdoor

Description: This program provides remote access to the computer it is installed on.

Recommended action: Remove this software immediately.

Items:
containerfile:C:\Windows\Temp\php1329.tmp
containerfile:C:\Windows\Temp\php183B.tmp
containerfile:C:\Windows\Temp\php2249.tmp
containerfile:C:\Windows\Temp\php27D8.tmp
containerfile:C:\Windows\Temp\php3AF0.tmp
containerfile:C:\Windows\Temp\php5B90.tmp
containerfile:C:\Windows\Temp\php6C7F.tmp
containerfile:C:\Windows\Temp\php7470.tmp
containerfile:C:\Windows\Temp\php868.tmp
containerfile:C:\Windows\Temp\phpC58C.tmp
containerfile:C:\Windows\Temp\phpDB95.tmp
containerfile:C:\Windows\Temp\phpE643.tmp
file:C:\Windows\Temp\php1329.tmp->revslider/arhy.php->[PHP]
file:C:\Windows\Temp\php183B.tmp->revslider/arhy.php->[PHP]
file:C:\Windows\Temp\php2249.tmp->revslider/arhy.php->[PHP]
file:C:\Windows\Temp\php27D8.tmp->revslider/arhy.php->[PHP]
file:C:\Windows\Temp\php3AF0.tmp->revslider/login.php
file:C:\Windows\Temp\php3AF0.tmp->revslider/login.php->[PHP]
file:C:\Windows\Temp\php5B90.tmp->revslider/joss.php
file:C:\Windows\Temp\php5B90.tmp->revslider/joss.php->[PHP]
file:C:\Windows\Temp\php6C7F.tmp->revslider/joss.php
file:C:\Windows\Temp\php6C7F.tmp->revslider/joss.php->[PHP]
file:C:\Windows\Temp\php7470.tmp->revslider/joss.php
file:C:\Windows\Temp\php7470.tmp->revslider/joss.php->[PHP]
file:C:\Windows\Temp\php868.tmp->revslider/arhy.php->[PHP]
file:C:\Windows\Temp\phpC58C.tmp->revslider/login.php
file:C:\Windows\Temp\phpC58C.tmp->revslider/login.php->[PHP]
file:C:\Windows\Temp\phpDB95.tmp->revslider/login.php
file:C:\Windows\Temp\phpDB95.tmp->revslider/login.php->[PHP]
file:C:\Windows\Temp\phpE643.tmp->revslider/login.php
file:C:\Windows\Temp\phpE643.tmp->revslider/login.php->[PHP]


Nach dem ich dann alle Markiere und auf "Remove all" gehe, sind sie auch erst einmal weg bis zum nächsten morgen. Ich bin leider echt nicht fit in Server Konfiguration und in spezieller Software die das ganze entfernen könnte. Mit der Fehlermeldung kann ich leider auch nicht viel anfangen, da ich ja nicht weiß welche Hintertür oder Programm das ganze verursacht. Noch dazu kommt das einige Mitarbeiter (50) in der Firma von Montag bis Freitag an dem oben genannten Tool arbeiten und ich diesen dadurch nur wenig belasten kann.

Ich hoffe ich habe nix vergessen, es wäre wunderbar wenn mir jemand Tipps geben könnte um das ganze in den Griff zu bekommen.

Vielen Dank schon einmal im Voraus