Trojaner-Board - Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc (https://www.trojaner-board.de/115575-microsoft-security-essentials-winnt-sirefef-j-win32-karagany-i-win32-small-tg-etc.html)

Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc

Hallo und guten Tag.

Ich arbeite in der EDV-Abteilung eines mittelständischen Unternehmen mit und gestern kam ein Kollege zu mir, dass sein "Internet nicht geht".

Der PC hat MSE (Microsoft Security Essentials) seit Längerem installiert und hat regelmäßig Updates und vereinfachte Systemscans gefahren. Gestern nach Scan in der Mittagspause hat MSE dann mehrere Funde gemeldet, mein Kollege hat das nicht mitbekommen. Er merkte nur dass Outlook spinnt und keine Internetseiten aufgerufen werden können und kam dann zu mir.

Ich habe festgestellt dass C:\WINDOWS\system32\drivers\ipsec.sys von MSE in Quarantäne verschoben wurde und hatte somit die Erklärung für die genannten Fehlfunktionen.

Zusätzlich kann ich folgende Aussagen treffen:
- Der PC läuft mit Windows XP SP3 x86.
- Es wurden regelmäßig (automatisch) Windows Updates installiert
- Es ist eine sehr alte Java-Version installiert (! Version 6 Update 11 oder 12)
- Der Benutzer hat Administratorrechte

Ich habe dann einen vollständigen Systemscan mit MSE laufen lassen - hier die Ergebnisübersicht:

http://www.trojaner-board.de/attachm...1&d=1337673342

Das ist mir zuviel um es allein zu lösen. Das System sollte nicht neu aufgesetzt werden müssen. Auch wenn es etwas länger dauert, möchte ich versuchen das System zu reinigen.
Ich würde mir zB. zutrauen den TCP/IP-Dienst neu zu installieren wenn das System wieder sauber ist.

Ich habe nun defogger, dds und gmer laufen lassen. Die Logs (attach.txt und gmer_unpersonal.txt) befinden sich als *.ZIP im Anhang. Ich hoffe uns kann geholfen werden, hier der Inhalt der dds.txt (Alle Stellen mit "XXX" sind von mir unkenntlich gemacht):

Code:

DDS (Ver_2011-08-26.01) - NTFSx86 

Internet Explorer: 8.0.6001.18702

Run by XXX at 10:20:02 on 2012-05-22

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3326.2737 [GMT 2:00]

.

AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

.

============== Running Processes ===============

.

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\Programme\Microsoft Security Client\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

svchost.exe

C:\Programme\Canon\IJPLM\IJPLMSVC.EXE

C:\Programme\Google\Update\GoogleUpdate.exe

C:\Programme\CDBurnerXP\NMSAccessU.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system32\SearchIndexer.exe

C:\Programme\Canon\CAL\CALMAIN.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\KEN!\kentbcli.exe

C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Programme\ScanSoft\PaperPort\pptd40nt.exe

C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe

C:\Programme\Brother\Brmfcmon\BrMfimon.exe

C:\Programme\Microsoft Security Client\msseces.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Corel\Graphics8\Programs\MFIndexer.exe

C:\Programme\Windows Desktop Search\WindowsSearch.exe

C:\Programme\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\mspaint.exe

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.google.de/

uInternet Settings,ProxyServer = ftp=XXX:3128;http=XXX:3128;https=XXX:3128;socks=XXX:1080

uInternet Settings,ProxyOverride = <local>;*.local

BHO: Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelper.dll

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: Adobe PDF Conversion Toolbar Helper: {ae7cd045-e861-484f-8273-0445ee161910} - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll

BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.7.6406.1642\swg.dll

BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll

TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File

TB: {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File

EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [swg] "c:\programme\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"

uRun: [TomTomHOME.exe] "c:\programme\tomtom home 2\TomTomHOMERunner.exe" -s

uRun: [Ekocurq] "c:\dokumente und einstellungen\XXX\anwendungsdaten\iwos\piofl.exe"

mRun: [RTHDCPL] RTHDCPL.EXE

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [KEN Taskbar Client] "c:\programme\ken!\kentbcli.exe"

mRun: [Acrobat Assistant 7.0] "c:\programme\adobe\acrobat 7.0\distillr\Acrotray.exe"

mRun: [<NO NAME>] 

mRun: [Google Updater] "c:\programme\google\google updater\GoogleUpdater.exe" -systray -startup

mRun: [SSBkgdUpdate] "c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate\SSBkgdupdate.exe" -Embedding -boot

mRun: [PaperPort PTD] "c:\programme\scansoft\paperport\pptd40nt.exe"

mRun: [IndexSearch] "c:\programme\scansoft\paperport\IndexSearch.exe"

mRun: [PPort11reminder] "c:\programme\scansoft\paperport\ereg\ereg.exe" -r "c:\dokumente und einstellungen\all users\anwendungsdaten\scansoft\paperport\11\config\ereg\Ereg.ini"

mRun: [BrMfcWnd] c:\programme\brother\brmfcmon\BrMfcWnd.exe /AUTORUN

mRun: [ControlCenter3] c:\programme\brother\controlcenter3\brctrcen.exe /autorun

mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe

mRun: [Adobe Reader Speed Launcher] "c:\programme\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"

mRun: [MSC] "c:\programme\microsoft security client\msseces.exe" -hide -runkey

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\adobea~1.lnk - c:\windows\installer\{ac76ba86-1033-f400-ba7e-000000000002}\SC_Acrobat.exe

StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\corelm~1.lnk - c:\corel\graphics8\programs\MFIndexer.exe

StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\micros~1.lnk - c:\programme\microsoft office\office\OSA9.EXE

StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\window~1.lnk - c:\programme\windows desktop search\WindowsSearch.exe

StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\winzip~1.lnk - c:\programme\winzip\WZQKPICK.EXE

dPolicies-explorer: NoDesktopCleanupWizard = 1 (0x1)

IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Auswahl in Adobe PDF konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Google Sidewiki... - c:\programme\google\google toolbar\component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html

IE: In Adobe PDF konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: In vorhandene PDF-Datei konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

LSP: mswsock.dll

DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1259073134796

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///E:/CDVIEWER/CdViewer.cab

TCP: Interfaces\{F39568A1-E1ED-41CB-80D8-5514023B806E} : NameServer = 172.16.10.23

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

SEH: Windows Desktop Search Namespace Manager: {56f9679e-7826-4c84-81f3-532071a8bcc5} - c:\programme\windows desktop search\MSNLNamespaceMgr.dll

.

============= SERVICES / DRIVERS ===============

.

R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [2009-11-24 18208]

R0 MpFilter;Microsoft Malware Protection Driver;c:\windows\system32\drivers\MpFilter.sys [2012-3-20 171064]

S1 gdbthsde;gdbthsde;\??\c:\windows\system32\drivers\gdbthsde.sys --> c:\windows\system32\drivers\gdbthsde.sys [?]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]

S2 gpiucvny;Shell Image;c:\windows\system32\svchost.exe -k netsvcs [2008-4-14 14336]

S2 gupdate;Google Update Service (gupdate);c:\programme\google\update\GoogleUpdate.exe [2011-7-6 136176]

S2 hlbsfmrjp;Windows Image;c:\windows\system32\svchost.exe -k netsvcs [2008-4-14 14336]

S2 KEN Client Service;AVM KEN Klient;c:\programme\ken!\kencli.exe [2009-11-25 167936]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-11-24 1684736]

S3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\programme\sony ericsson\sony ericsson pc companion\PCCService.exe [2011-4-12 155344]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]

.

=============== Created Last 30 ================

.

2012-05-22 07:13:20    --------    d-----w-    C:\EDV

2012-05-21 11:36:40    --------    d-----w-    c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\PCHealth

2012-05-21 11:20:09    --------    d-----w-    C:\Halde

2012-05-21 05:41:17    6737808    ----a-w-    c:\dokumente und einstellungen\all users\anwendungsdaten\microsoft\microsoft antimalware\definition updates\{9e8e5cab-05d6-4010-9497-9ae2419822ca}\mpengine.dll

2012-05-14 12:05:17    6734704    ----a-w-    c:\dokumente und einstellungen\all users\anwendungsdaten\microsoft\microsoft antimalware\definition updates\backup\mpengine.dll

2012-05-14 12:05:17    237072    ------w-    c:\windows\system32\MpSigStub.exe

2012-05-14 12:03:20    --------    d-----w-    c:\programme\Microsoft Security Client

2012-05-14 11:51:53    --------    d-----w-    c:\windows\system32\MpEngineStore

2012-05-14 11:20:21    --------    d-----w-    c:\dokumente und einstellungen\XXX\anwendungsdaten\Ukxeuc

2012-05-14 11:20:21    --------    d-----w-    c:\dokumente und einstellungen\XXX\anwendungsdaten\Iwos

2012-05-14 11:20:21    --------    d-----w-    c:\dokumente und einstellungen\XXX\anwendungsdaten\Heisyq

2012-05-14 11:18:57    --------    d-----w-    c:\dokumente und einstellungen\all users\anwendungsdaten\F4D561EA000155CA000062EED151FC4E

2012-05-07 08:10:57    --------    d-----w-    c:\dokumente und einstellungen\all users\anwendungsdaten\Lexware

2012-05-07 08:10:27    1929216    ----a-w-    c:\windows\system32\cdintf250.dll

2012-05-07 08:03:55    --------    d-----w-    c:\programme\gemeinsame dateien\Lexware

2012-05-07 08:03:53    --------    d-----w-    c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\Lexware

.

==================== Find3M  ====================

.

2012-05-11 08:29:37    2581    ----a-w-    c:\windows\panose.bin

2012-05-10 05:27:40    419488    ----a-w-    c:\windows\system32\FlashPlayerApp.exe

2012-05-10 05:27:39    70304    ----a-w-    c:\windows\system32\FlashPlayerCPLApp.cpl

2012-03-20 18:44:12    171064    ----a-w-    c:\windows\system32\drivers\MpFilter.sys

2003-06-19 10:05:04    431888    --s-a-w-    c:\programme\gemeinsame dateien\riched20.dll

.

============= FINISH: 10:20:24,53 ===============

--- --- ---
Sehr ärgerlich das Alles, wo ich doch gerade dabei bin Avira Endpoint Security in der gesamten Firma zu installieren (inklusive vollständige Aktualisierung, Reinigung etc. aller PCs)... Der betroffene PC wäre ab heut' dran gewesen mit der Auffrischung. :headbang:

Beste Grüße
Robert

:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Da hat sich der Herr Kollege einen der garstigsten Schädlinge überhaupt eingefangen - und die Standardantwort auf den befalnnen IPSEC-Treiber durch MSE war (wie immer) löschen.

Das wieder gradezubiegen, wird nervig!

Bitte zunächst ein Fullbackup des Systems ziehen (per Live CD, ich empfehle hier Acronis TrueImage), falls alle Stricke reißen sollten.

Dann geht es hier weiter:

Schritt 1: Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Schritt 2: MBAM

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen.(Hinweis: Alle Festplatten anhaken!
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3: FSS

Downloade dir bitte Farbar's Service Scanner

Starte das Tool mit Doppelklick auf die FSS.exe
Gehe sicher, dass folgende Optionen angehakt sind.
- Internet Services
- Windows Firewall
- System Restore
Klicke auf Scan.
Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hallo Marius.

Vielen Dank für die schnelle Rückmeldung. Ich mache mich jetzt an die Sicherung per Acronis.

Die HDD hat eine zweite Partition auf der noch fast 90GB frei sind - kann die Sicherung dort hin oder sollte ich besser nach extern sichern?

Kann ich den PC wieder ans LAN anbinden oder besteht Verbreitungsgefahr der Schädlinge? Meine Überlegung geht dahin, dass ich ja nun gar keine Internetverbindung habe, um die Schritte 1 bis 3 durchzuführen...

Nein, sichere nach extern, sofern möglich!

Du kannst den Rechner ans LAN anbinden!

So, nachdem ich endlich eine Möglichkeit gefunden haben die 70GB große Sicherung extern abzulegen, ist nun erstmal Feierabend.

Morgen früh um 7 Uhr starte ich Sicherung und wenn Alles klappt poste ich morgen gegen Mittag die nächsten Logs.

Sollten noch Probleme auftauchen, melde ich mich vorher nochmal.

Beste Grüße
Robert

Kurzes Update: Die Validierung des Backups dauert noch ca. 26000 Tage, laut Anzeige... :pfui:

Ich werde die Validierung laufen lassen und wenn dann endlich klar ist dass das Backup erfolgreich war, werde ich morgen früh die weiteren Scans starten!

Beste Grüße
Robert

So, das Backup ist gültig - nun kanns los gehen! Kann ich mit USB-Stick arbeiten? Das Netzwerk / Internet funktioniert ja wegen fehlender ipsec.sys nicht...

... im Moment schiebe ich die Programme mit einer Multisession-CD-R rüber.

Ja, du kannst mit Stick arbeiten! :)
Hatte mich schon gewundert, dass das via LAN funktioniert! :D

Neuester Stand:

Ich habe ComboFix von Mirror2 auf CD gebrannt, auf den Desktop kopiert und gestartet... Nichts ist passiert. :dummguck:

Dann hab' ich ComboFix nochmal von Mirror1 geholt (die Datei ist etwas größer und hat ein Symbol - der erste Download war wohl fehlerhaft :killpc:) und per USB-Stick auf den Desktop kopiert und gestartet...

Meldung sinngemäß: "Keine Wiederherstellungskonsole gefunden - Downloaden und installieren?". Habe "nein" gewählt.

Den gestarteten Scan habe ich dann sofort per [X] abgebrochen und erstmal von der XP-CD die Konsole nachinstalliert per <CD-Laufwerksbuchstabe>:\i386\winnt32.exe /cmdcons

Dann habe ich ComboFix gestartet.

Nach einer Weile wurde die Meldung "ComboFix hat die Anwesenheit von Rootkitaktivitaeten festgestellt und muss nun den PC neustarten:" angezeigt.

Nach Drücken auf "OK" wurde der Neustart ausgeführt und ComboFix wieder gestartet.

Irgendwann hat der PC dann von allein einen 2. Neustart gemacht und nach Anmeldung waren plötzlich alle netzwerkabhängigen Anwendungen wieder aktiv. :applaus:

Hier nun die ComboFix-Logfiles:

ComboFix-quarantined-files_impersonal.txt (impersonal bedeutet dass ich Benutzernamen mit XXX unkenntlich gemacht habe :cool:)

Code:

2012-05-24 08:12:21 . 2012-05-24 08:12:21              486 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-EAGLE 4.16.reg.dat

2012-05-24 08:12:21 . 2012-05-24 08:12:21              632 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-AVM KEN!.reg.dat

2012-05-24 08:12:21 . 2012-05-24 08:12:21              662 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-Adobe Type Manager 4.1.reg.dat

2012-05-24 08:12:21 . 2012-05-24 08:12:21            1,746 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-Adobe PageMaker 7.0.reg.dat

2012-05-24 08:12:15 . 2012-05-24 08:12:15              534 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-WudfRd.reg.dat

2012-05-24 08:12:15 . 2012-05-24 08:12:15              534 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-WudfPf.reg.dat

2012-05-24 08:12:07 . 2012-05-24 08:12:07              169 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-Ekocurq.reg.dat

2012-05-24 08:12:07 . 2012-05-24 08:12:07              157 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-TomTomHOME.exe.reg.dat

2012-05-24 08:12:07 . 2012-05-24 08:12:07              171 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat

2012-05-24 08:03:08 . 2012-05-24 08:03:08              218 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB45765$\_314316591_.zip

2012-05-24 08:02:16 . 2012-05-24 08:02:16            7,427 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

2012-05-24 07:16:59 . 2012-05-24 08:03:33              819 ----a-w-  C:\Qoobox\Quarantine\catchme.log

2012-05-14 11:19:07 . 2012-05-14 11:19:07            2,048 -c--a-w-  C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB45765$\2662870141\@.vir

2012-05-14 11:19:07 . 2012-05-14 11:19:07               26 -c--a-w-  C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB45765$\2662870141\cfg.ini.vir

2012-05-14 11:19:07 . 2012-05-21 05:35:11            4,608 -c--a-w-  C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB45765$\2662870141\Desktop.ini.vir

2012-05-14 11:19:07 . 2012-05-14 11:19:07           75,264 -c--a-w-  C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB45765$\2662870141\L\egqqvfdc.vir

2011-03-16 13:13:31 . 2011-03-16 13:13:31            7,168 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\system32\Thumbs.db.vir

2011-03-09 13:00:01 . 2011-03-09 13:00:01                0 ----a-w-  C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\XXX\Anwendungsdaten\Heisyq\exqim.cea.vir

2010-09-13 07:58:13 . 2011-10-04 08:16:46           14,848 ----a-w-  C:\Qoobox\Quarantine\C\Thumbs.db.vir

2009-12-22 15:35:47 . 2009-12-22 15:35:48              739 ----a-w-  C:\Qoobox\Quarantine\C\ipconfig.txt.vir

2009-12-04 10:09:19 . 2000-05-24 14:02:40          299,008 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\unin0407.exe.vir

2009-11-25 13:20:14 . 1998-11-17 10:44:44          328,704 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\IsUn0407.exe.vir

2002-10-22 13:22:14 . 2002-10-22 13:22:14          226,304 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\system32\dbcdbf32.dll.vir

2002-08-20 10:02:14 . 2002-08-20 10:02:14          133,120 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\system32\zip32.dll.vir

ComboFix_log_impersonal.txt

Code:

ComboFix 12-05-23.06 - XXX 24.05.2012   9:58.1.2 - x86

ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe

AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

c:\dokumente und einstellungen\XXX\Anwendungsdaten\Heisyq

c:\dokumente und einstellungen\XXX\Anwendungsdaten\Heisyq\exqim.cea

c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\assembly\tmp

c:\dokumente und einstellungen\XXX\WINDOWS

C:\ipconfig.txt

C:\Thumbs.db

c:\windows\$NtUninstallKB45765$

c:\windows\$NtUninstallKB45765$\2662870141\@

c:\windows\$NtUninstallKB45765$\2662870141\cfg.ini

c:\windows\$NtUninstallKB45765$\2662870141\Desktop.ini

c:\windows\$NtUninstallKB45765$\2662870141\L\egqqvfdc

c:\windows\$NtUninstallKB45765$\314316591

c:\windows\IsUn0407.exe

c:\windows\system32\dbcdbf32.dll

c:\windows\system32\Thumbs.db

c:\windows\system32\zip32.dll

c:\windows\unin0407.exe

.

c:\windows\system32\drivers\ipsec.sys fehlte 

Kopie von - c:\windows\system32\dllcache\ipsec.sys wurde wiederhergestellt

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-04-24 bis 2012-05-24  ))))))))))))))))))))))))))))))

.

.

2012-05-24 08:03 . 2008-04-13 22:49        75264        -c--a-w-        c:\windows\system32\dllcache\ipsec.sys

2012-05-24 08:03 . 2008-04-13 22:49        75264        ----a-w-        c:\windows\system32\drivers\ipsec.sys

2012-05-22 09:48 . 2012-05-08 16:40        6737808        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C13A79DC-A9B8-479A-B30A-8A78E9F6F521}\mpengine.dll

2012-05-22 07:13 . 2012-05-22 07:13        --------        d-----w-        C:\EDV

2012-05-21 11:36 . 2012-05-21 11:36        --------        d-----w-        c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\PCHealth

2012-05-21 11:20 . 2012-05-21 11:20        --------        d-----w-        C:\Halde

2012-05-14 12:05 . 2012-04-18 01:06        6734704        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll

2012-05-14 12:05 . 2012-02-23 08:18        237072        ------w-        c:\windows\system32\MpSigStub.exe

2012-05-14 12:03 . 2012-05-22 09:50        --------        d-----w-        c:\programme\Microsoft Security Client

2012-05-14 11:51 . 2012-05-14 11:52        --------        d-----w-        c:\windows\system32\MpEngineStore

2012-05-14 11:20 . 2012-05-14 11:53        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Iwos

2012-05-14 11:20 . 2012-05-14 11:39        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Ukxeuc

2012-05-14 11:18 . 2012-05-14 11:31        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\F4D561EA000155CA000062EED151FC4E

2012-05-07 08:10 . 2012-05-14 11:34        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware

2012-05-07 08:10 . 2006-06-26 13:58        1929216        ----a-w-        c:\windows\system32\cdintf250.dll

2012-05-07 08:08 . 2012-05-07 08:08        --------        d-----w-        c:\programme\Microsoft.NET

2012-05-07 08:03 . 2012-05-14 11:34        --------        d-----w-        c:\programme\Gemeinsame Dateien\Lexware

2012-05-07 08:03 . 2012-05-07 08:12        --------        d-----w-        c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Lexware

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-05-10 05:27 . 2012-04-05 05:14        419488        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-05-10 05:27 . 2011-06-08 05:49        70304        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-03-20 18:44 . 2012-03-20 18:44        171064        ----a-w-        c:\windows\system32\drivers\MpFilter.sys

2003-06-19 10:05 . 2003-06-19 10:05        431888        --s-a-w-        c:\programme\Gemeinsame Dateien\riched20.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-22 39408]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]

"nwiz"="nwiz.exe" [2009-04-30 1657376]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]

"KEN Taskbar Client"="c:\programme\KEN!\kentbcli.exe" [2007-02-07 262144]

"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]

"Google Updater"="c:\programme\Google\Google Updater\GoogleUpdater.exe" [2010-01-22 160752]

"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]

"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]

"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]

"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]

"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2008-04-11 1085440]

"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]

"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-BA7E-000000000002}\SC_Acrobat.exe [2009-12-2 25214]

Corel MEDIA FOLDERS INDEXER 8.LNK - c:\corel\Graphics8\Programs\MFIndexer.exe [2009-12-2 82944]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2011-8-30 106561]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]

@="Service"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Brother\\Brmfl08d\\FAXRX.exe"=

"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=

"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"139:TCP"= 139:TCP:172.16.10.0/255.255.255.0,172.16.30.0/255.255.255.0:Enabled:@xpsp2res.dll,-22004

"445:TCP"= 445:TCP:172.16.10.0/255.255.255.0,172.16.30.0/255.255.255.0:Enabled:@xpsp2res.dll,-22005

"137:UDP"= 137:UDP:172.16.10.0/255.255.255.0,172.16.30.0/255.255.255.0:Enabled:@xpsp2res.dll,-22001

"138:UDP"= 138:UDP:172.16.10.0/255.255.255.0,172.16.30.0/255.255.255.0:Enabled:@xpsp2res.dll,-22002

"54925:UDP"= 54925:UDP:BrotherNetwork Scanner

"5220:TCP"= 5220:TCP:paadshg

"4430:TCP"= 4430:TCP:eumex401

.

R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [24.11.2009 18:39 18208]

R2 KEN Client Service;AVM KEN Klient;c:\programme\KEN!\kencli.exe [25.11.2009 15:20 167936]

S1 gdbthsde;gdbthsde;\??\c:\windows\system32\drivers\gdbthsde.sys --> c:\windows\system32\drivers\gdbthsde.sys [?]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]

S2 gpiucvny;Shell Image;c:\windows\system32\svchost.exe -k netsvcs [14.04.2008 07:53 14336]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.07.2011 08:16 136176]

S2 hlbsfmrjp;Windows Image;c:\windows\system32\svchost.exe -k netsvcs [14.04.2008 07:53 14336]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [24.11.2009 15:23 1684736]

S3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\programme\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [12.04.2011 07:52 155344]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

hlbsfmrjp

.

Inhalt des "geplante Tasks" Ordners

.

2012-05-24 c:\windows\Tasks\Google Software Updater.job

- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-01-22 07:32]

.

2012-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-07-06 06:16]

.

2012-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-07-06 06:16]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uInternet Settings,ProxyServer = ftp=172.16.10.18:3128;http=172.16.10.18:3128;https=172.16.10.18:3128;socks=172.16.10.18:1080

uInternet Settings,ProxyOverride = *.local;<local>

IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html

IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

TCP: Interfaces\{F39568A1-E1ED-41CB-80D8-5514023B806E}: NameServer = 172.16.10.23

DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

HKCU-Run-TomTomHOME.exe - c:\programme\TomTom HOME 2\TomTomHOMERunner.exe

HKCU-Run-Ekocurq - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Iwos\piofl.exe

SafeBoot-WudfPf

SafeBoot-WudfRd

AddRemove-Adobe PageMaker 7.0 - c:\windows\ISUN0407.EXE

AddRemove-Adobe Type Manager 4.1 - c:\windows\unin0407.exe

AddRemove-AVM KEN! - c:\windows\ISUN0407.EXE

AddRemove-EAGLE 4.16 - c:\windows\unin0407.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-05-24 10:09

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'explorer.exe'(652)

c:\programme\Windows Desktop Search\deskbar.dll

c:\programme\Windows Desktop Search\de-de\dbres.dll.mui

c:\programme\Windows Desktop Search\dbres.dll

c:\programme\Windows Desktop Search\wordwheel.dll

c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui

c:\programme\Windows Desktop Search\msnlExtRes.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\corel\Graphics8\programs\CMFFld80.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\nvsvc32.exe

c:\programme\Microsoft Security Client\MsMpEng.exe

c:\programme\Bonjour\mDNSResponder.exe

c:\programme\Canon\IJPLM\IJPLMSVC.EXE

c:\programme\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\SearchIndexer.exe

c:\programme\Canon\CAL\CALMAIN.exe

c:\windows\system32\SearchProtocolHost.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\RUNDLL32.EXE

c:\programme\Brother\ControlCenter3\brccMCtl.exe

c:\programme\Brother\Brmfcmon\BrMfimon.exe

c:\programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe

c:\progra~1\GEMEIN~1\MICROS~1\DW\DW20.EXE

c:\windows\system32\SearchFilterHost.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-05-24  10:12:59 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-05-24 08:12

.

Vor Suchlauf: 35 Verzeichnis(se), 10.845.577.216 Bytes frei

Nach Suchlauf: 36 Verzeichnis(se), 12.101.001.216 Bytes frei

.

- - End Of File - - CB4697F26EDE870C64A011C3A816791C

Für mich sieht es aus, als wären da auch ein paar Sachen entfernt worden, die in Ordnung sind... kann das sein?

Soll ich nun mit MBAM fortfahren?

Beste Grüße
Robert

Zitat:

Für mich sieht es aus, als wären da auch ein paar Sachen entfernt worden, die in Ordnung sind... kann das sein?

Das sieht in der Tat so aus - tatsächlich ist es aber das Werk dieses hinterhältigen Schädlings. Auch für versierte User sieht es aus, als handele es sich um Systemdateien... :applaus:

----

weiter mit den anderen Schritten!

So, MBAM ist aktualisiert und läuft...

Wegen eventuell ungerechtfertigten Löschungen / Quarantäne durch ComboFix:

zB. sieht 2012-05-24 08:02:16 . 2012-05-24 08:02:16 7,427 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg ganz stark nach einer Sicherung von Registrydaten von meinem EDV-Kollegen aus. So eine Sicherung macht man ja nicht ohne Grund, daher würde ich die Datei gern behalten.
Oder ist es möglich dass ein Schadprogramm irgendwann mal einen Reg-Eintrag verändert hat, der "schlechte" Eintrag wurde von meinem Kollegen gesichert und ausgebessert und nun merkt ComboFix, dass da was Schlechtes in der Sicherung steht?
Ist "Registry_backups" eigentlich ein Systemordner?

Nein!

Registry_backups ist ein Ordner, in dem combofix alles hinterlegt, was es in der Registry als schädlich erkannt und deshalb entfernt hat. Ich würde dir empfehlen, vom Backup eines verseuchten registry-Eintrags tunlichst die finger zu lassen! :rolleyes:

Gut, Danke für die Info! :pfeiff:

Ich habe gerade gesehen, dann in meinem Eröffnungspost das Bild mit den MSE-Ergebnissen nicht angezeigt wird:

http://www.trojaner-board.de/attachm...7&d=1337854296

Da müssen wir noch schauen, ob da etwas zu Unrecht kaltgestellt wurde, wie zB. Win32/RealVNC - das ist doch einfach nur unser Remotezugriff... oder kann das auch verseucht sein?

Beste Grüße
Robert

Finished the three Steps:

mbam-log-2012-05-24 (11-44-32)_impersonal.txt

Code:

Malwarebytes Anti-Malware (Test) 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.05.24.01
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Xxx :: XXX [Administrator]
 

Schutz: Aktiviert
 

24.05.2012 11:44:32

mbam-log-2012-05-24 (11-44-32).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P

Deaktivierte Suchlaufeinstellungen: 

Durchsuchte Objekte: 535045

Laufzeit: 1 Stunde(n), 16 Minute(n), 
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

FSS_Impersonal.txt

Code:

Farbar Service Scanner Version: 17-05-2012

Ran by XXX (administrator) on 24-05-2012 at 13:19:57

Running from "C:\Dokumente und Einstellungen\XXX\Desktop"

Microsoft Windows XP Professional Service Pack 3 (X86)

Boot Mode: Normal

****************************************************************
 

Internet Services:

============
 

Connection Status:

==============

Localhost is accessible.

LAN connected.

Attempt to access Google IP returned error: Google IP is unreachable

Attempt to access Yahoo IP returned error: Yahoo IP is offline
 
 

Windows Firewall:

=============
 

Firewall Disabled Policy: 

==================
 
 

System Restore:

============
 

System Restore Disabled Policy: 

========================
 
 

File Check:

========

C:\WINDOWS\system32\dhcpcsvc.dll

[2008-04-14 07:52] - [2008-04-14 07:52] - 0127488 ____A (Microsoft Corporation) C29A1C9B75BA38FA37F8C44405DEC360
 

C:\WINDOWS\system32\Drivers\afd.sys

[2008-04-14 00:49] - [2008-10-16 16:43] - 0138496 ____A (Microsoft Corporation) 7618D5218F2A614672EC61A80D854A37
 

C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit

C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit

C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit

C:\WINDOWS\system32\dnsrslvr.dll

[2008-04-14 07:52] - [2009-04-20 19:17] - 0045568 ____A (Microsoft Corporation) 407F3227AC618FD1CA54B335B083DE07
 

C:\WINDOWS\system32\ipnathlp.dll

[2008-04-14 07:52] - [2008-04-21 20:44] - 0333824 ____A (Microsoft Corporation) F96D196D81A92A6C55178F3F49B227A1
 

C:\WINDOWS\system32\netman.dll

[2008-04-14 07:52] - [2008-04-14 07:52] - 0198144 ____A (Microsoft Corporation) E6D88F1F6745BF00B57E7855A2AB696C
 

C:\WINDOWS\system32\wbem\WMIsvc.dll

[2009-11-24 15:06] - [2008-04-14 07:52] - 0145408 ____A (Microsoft Corporation) 6F3F3973D97714CC5F906A19FE883729
 

C:\WINDOWS\system32\srsvc.dll

[2009-11-24 15:08] - [2008-04-14 07:52] - 0171520 ____A (Microsoft Corporation) FE77A85495065F3AD59C5C65B6C54182
 

C:\WINDOWS\system32\Drivers\sr.sys

[2009-11-24 15:08] - [2008-04-14 07:32] - 0073472 ____A (Microsoft Corporation) 50FA898F8C032796D3B1B9951BB5A90F
 

C:\WINDOWS\system32\svchost.exe

[2008-04-14 07:53] - [2008-04-14 07:53] - 0014336 ____A (Microsoft Corporation) 4FBC75B74479C7A6F829E0CA19DF3366
 

C:\WINDOWS\system32\rpcss.dll

[2008-04-14 07:52] - [2009-02-09 12:54] - 0401408 ____A (Microsoft Corporation) D3D765E8455A961AE567B408F767D4F9
 

C:\WINDOWS\system32\services.exe

[2008-04-14 07:53] - [2009-02-09 13:14] - 0111104 ____A (Microsoft Corporation) F0A7D59AF279326528715B206669B86C
 
 

Extra List:

=======

Gpc(3) IPSec(5) NetBT(6) PSched(7) Tcpip(4) 

0x0700000005000000010000000200000003000000040000000600000007000000

IpSec Tag value is correct.
 

**** End of log ****

Sieht doch ganz gut aus oder? Wie gehts jetzt weiter? :zzwhip:

Sagen dir die beiden, in der Firewall geöffneten ports etwas?

Zitat:

"5220:TCP"= 5220:TCP:paadshg
"4430:TCP"= 4430:TCP:eumex401

Der untere deutet auf eine Eumex 401 telefonanlage hin, habt ihr eine solche?

Bitte Klärung herbeiführen, sonst töten wir die beiden Einträge!

Beide Einträge sind unbekannter Herkunft und werden von uns nicht benötigt!