kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)

Psychotic · 02.04.2012, 22:24

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scans durchführen zu denen du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

NICHT gut - du hast das ZeroAccess-Rootkit auf dem Rechner, das ist immer ziemlich nervig!

FRST

Downloade dir bitte Farbar's Recovery Scan Tool und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager

Starte den Rechner neu auf.
Während dem Hochfahren drücke mehrmals die F8 Taste
Wähle nun Computer reparieren.
Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

Lege die Windows CD in dein Laufwerk.
Starte den Rechner neu auf und starte von der CD
Wähle die Spracheinstellungen und klicke "Weiter".
Klicke auf Computerreparaturoptionen !!
Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.
Im öffnenden Textdokument --> Datei --> Speichern unter und wähle Computer Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
Schließe Notepad wieder
Gib nun bitte folgenden Befehl ein. e:\frst.exe Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

blauer_alex · 03.04.2012, 00:26

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 14-03-2012
Ran by SYSTEM at 03-04-2012 01:21:14
Running from G:\
Windows 7 Home Premium   (X86) OS Language: English(US) 
The current controlset is ControlSet001

========================== Registry (Whitelisted) =============

HKLM\...\Run: [IgfxTray] C:\windows\system32\igfxtray.exe [141848 2009-10-01] (Intel Corporation)
HKLM\...\Run: [HotKeysCmds] C:\windows\system32\hkcmd.exe [174104 2009-10-01] (Intel Corporation)
HKLM\...\Run: [Persistence] C:\windows\system32\igfxpers.exe [151064 2009-10-01] (Intel Corporation)
HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s [7739936 2009-09-11] (Realtek Semiconductor)
HKLM\...\Run: [IndicatorListener] rundll32.exe "C:\Program Files\Motorola\Bluetooth\mkil.dll",StartNotification [107784 2009-08-12] (Motorola, Inc.)
HKLM\...\Run: [BTMTrayAgent] rundll32.exe "C:\Program Files\Motorola\Bluetooth\btmshell.dll",TrayApp [17753352 2009-07-22] (Motorola, Inc.)
HKLM\...\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe [1557800 2009-09-03] (Synaptics Incorporated)
HKLM\...\Run: [PSQLLauncher] "C:\Program Files\Lenovo\LenovoSecuritySolution FP\launcher.exe" /startup [55048 2009-09-11] (UPEK Inc.)
HKLM\...\Run: [UpdateP2GShortCut] "C:\Program Files\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\Lenovo\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\5.0" [218408 2008-12-03] (CyberLink Corp.)
HKLM\...\Run: [EnergyUtility] C:\Program Files\Lenovo\Energy Management\utility.exe [4114288 2009-09-29] (Lenovo(beijing) Limited)
HKLM\...\Run: [Energy Management] C:\Program Files\Lenovo\Energy Management\Energy Management.exe [5064560 2009-09-29] (Lenovo (Beijing) Limited)
HKLM\...\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" [74752 2010-07-12] (Nullsoft, Inc.)
HKLM\...\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [421888 2010-11-29] (Apple Inc.)
HKLM\...\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey [997920 2011-06-15] (Microsoft Corporation)
HKLM\...\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [500208 2010-03-05] (Adobe Systems Incorporated)
HKLM\...\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated)
HKLM\...\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin [406992 2010-02-21] (Adobe Systems Incorporated)
HKLM\...\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [1043968 2011-02-18] (Check Point Software Technologies LTD)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [254696 2011-06-09] (Sun Microsystems, Inc.)
HKLM\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [37296 2012-01-03] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-01-02] (Adobe Systems Incorporated)
HKLM\...\Run: [iSaverCtrl] C:\Program Files\iSaver\iSaverCtrl.exe --startup [1160192 2009-06-08] (infoMantis GmbH)
HKLM\...\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59240 2012-02-20] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" [421736 2012-03-06] (Apple Inc.)
HKU\***\...\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO [1786168 2010-09-24] (Piriform Ltd)
HKU\***\...\Winlogon: [Shell] C:\Users\***\AppData\Local\50bbacee\X [54784 2012-04-01] ()
Winlogon\Notify\igfxcui: igfxdev.dll (Intel Corporation)
Winlogon\Notify\psfus: C:\Program Files\Lenovo\LenovoSecuritySolution FP\psqlpwd.dll [X]
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{6BF9D236-A1D2-426D-9AB6-7E95DCBAC6B4}: [NameServer]193.189.244.225 193.189.244.206
Tcpip\..\Interfaces\{7010AAE3-7CBB-46A4-8500-130D143CA629}: [NameServer]193.189.244.225 193.189.244.206
Lsa: [Notification Packages] scecli
C:\Program Files\Lenovo\LenovoSecuritySolution FP\psqlpwd.dll

================================ Services (Whitelisted) ==================

2 !SASCORE; "C:\Program Files\SUPERAntiSpyware\SASCORE.EXE" [116608 2011-08-29] (SUPERAntiSpyware.com)
3 AdobeFlashPlayerUpdateSvc; C:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [253600 2012-04-02] (Adobe Systems Incorporated)
2 BcmSqlStartupSvc; "C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe" [30312 2008-01-16] (Microsoft Corporation)
3 Bluetooth Device Manager; "C:\Program Files\Motorola\Bluetooth\devmgrsrv.exe" [3473672 2009-07-22] (Motorola, Inc.)
3 Bluetooth Media Service; "C:\Program Files\Motorola\Bluetooth\audiosrv.exe" [709384 2009-07-22] (Motorola, Inc.)
2 Bluetooth OBEX Service; "C:\Program Files\Motorola\Bluetooth\obexsrv.exe" [474888 2009-07-22] (Motorola, Inc.)
2 FsUsbExService; C:\windows\system32\FsUsbExService.Exe [233472 2009-07-15] (Teruten)
2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [136176 2010-11-21] (Google Inc.)
3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [136176 2010-11-21] (Google Inc.)
2 IGRS; "C:\Program Files\Lenovo\ReadyComm\common\IGRS.exe" [38152 2009-07-14] (Lenovo Group Limited)
3 Lenovo ReadyComm AppSvc; "C:\Program Files\Lenovo\ReadyComm\AppSvc.exe" [414984 2009-07-28] (Lenovo Group Limited)
3 Lenovo ReadyComm ConnSvc; "C:\Program Files\Lenovo\ReadyComm\ConnSvc.exe" [472328 2009-07-28] (Lenovo Group Limited)
2 MsMpSvc; "C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe" [11736 2011-04-27] (Microsoft Corporation)
2 Nero BackItUp Scheduler 4.0; C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe [935208 2008-08-29] (Nero AG)
3 NisSrv; "C:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe" [208944 2011-04-27] (Microsoft Corporation)
3 PS_MDP; C:\Program Files\Lenovo\ReadyComm\PS_MDP.dll [276296 2009-07-15] (Lenovo Group Limited)
2 ReadyComm.DirectRouter; C:\Program Files\Lenovo\ReadyComm\common\router.dll [103688 2009-07-14] (Lenovo Group Limited)
3 SwitchBoard; "C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [517096 2010-02-19] (Adobe Systems Incorporated)
2 UpekSrvc; "C:\Program Files\Lenovo\LenovoSecuritySolution FP\upeksrvc.exe" [44808 2009-09-11] (UPEK Inc.)
2 vsmon; C:\Windows\System32\ZoneLabs\vsmon.exe -service [2435592 2011-02-18] (Check Point Software Technologies LTD)
3 MSSQL$MSSMLBIZ; "c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ [x]
4 MSSQLServerADHelper; "c:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe" [x]
2 SQLBrowser; "c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe" [x]
2 SQLWriter; "c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [x]

========================== Drivers (Whitelisted) =============

2 acedrv11; \??\C:\windows\system32\drivers\acedrv11.sys [185472 2010-02-24] (Protect Software GmbH)
3 ACPIVPC; C:\Windows\System32\DRIVERS\AcpiVpc.sys [21520 2009-05-19] (Lenovo Corporation)
3 Bridge0; C:\Windows\System32\drivers\WDBridge.sys [63240 2009-07-28] (Lenovo)
3 BTMCOM; C:\Windows\System32\Drivers\btmcom.sys [40448 2009-07-09] (Motorola, Inc.)
3 BTMUSB; C:\Windows\System32\Drivers\btmusb.sys [516608 2009-07-13] (Motorola, Inc.)
1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [218688 2011-06-20] (DT Soft Ltd)
3 ewusbnet; C:\Windows\System32\DRIVERS\ewusbnet.sys [201168 2009-12-07] (Huawei Technologies Co., Ltd.)
3 FsUsbExDisk; \??\C:\windows\system32\FsUsbExDisk.SYS [36608 2009-07-15] ()
3 hwdatacard; C:\Windows\System32\DRIVERS\ewusbmdm.sys [103168 2009-12-07] (Huawei Technologies Co., Ltd.)
3 hwusbdev; C:\Windows\System32\DRIVERS\ewusbdev.sys [101120 2009-10-12] (Huawei Technologies Co., Ltd.)
3 IntcHdmiAddService; C:\Windows\System32\drivers\IntcHdmi.sys [122368 2009-10-01] (Intel(R) Corporation)
3 k57nd60x; C:\Windows\System32\DRIVERS\k57nd60x.sys [229888 2009-07-13] (Broadcom Corporation)
1 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [165648 2011-04-18] (Microsoft Corporation)
3 MpNWMon; C:\Windows\System32\DRIVERS\MpNWMon.sys [43392 2011-04-18] (Microsoft Corporation)
3 netw5v32; C:\Windows\System32\DRIVERS\netw5v32.sys [4231168 2009-07-13] (Intel Corporation)
3 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [65024 2011-04-27] (Microsoft Corporation)
3 pccsmcfd; C:\Windows\System32\DRIVERS\pccsmcfd.sys [21632 2007-09-17] (Nokia)
1 SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS [12880 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
1 SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS [67664 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
0 sfdrv01; C:\Windows\System32\drivers\sfdrv01.sys [59000 2009-02-03] (Protection Technology (StarForce))
0 sfdrv01a; C:\Windows\System32\drivers\sfdrv01a.sys [63096 2009-02-03] (Protection Technology (StarForce))
0 sfhlp02; C:\Windows\System32\drivers\sfhlp02.sys [13680 2006-06-14] (Protection Technology (StarForce))
0 sfsync04; C:\Windows\System32\drivers\sfsync04.sys [59520 2009-02-03] (Protection Technology (StarForce))
0 sfvfs02; C:\Windows\System32\drivers\sfvfs02.sys [83320 2007-02-08] (Protection Technology (StarForce))
3 SNP2UVC; C:\Windows\System32\DRIVERS\snp2uvc.sys [1759744 2009-08-10] ()
4 sptd; C:\Windows\System32\Drivers\sptd.sys [691696 2010-09-25] (Duplex Secure Ltd.)
3 sscdbus; C:\Windows\System32\DRIVERS\sscdbus.sys [80552 2007-07-03] (MCCI Corporation)
3 sscdmdfl; C:\Windows\System32\DRIVERS\sscdmdfl.sys [11944 2007-07-03] (MCCI Corporation)
3 sscdmdm; C:\Windows\System32\DRIVERS\sscdmdm.sys [106792 2007-07-03] (MCCI Corporation)
1 Vsdatant; C:\Windows\System32\DRIVERS\vsdatant.sys [461400 2010-05-15] (Check Point Software Technologies LTD)
3 wdmirror; C:\Windows\System32\DRIVERS\WDMirror.sys [11792 2009-07-16] (Windows (R) Codename Longhorn DDK provider)
3 WimFltr; C:\Windows\System32\DRIVERS\wimfltr.sys [128104 2008-08-06] (Microsoft Corporation)
3 wsvd; C:\Windows\System32\DRIVERS\wsvd.sys [81704 2009-07-21] (CyberLink)
3 RSUSBSTOR; C:\Windows\System32\Drivers\RtsUStor.sys [x]
3 RtsUIR; C:\Windows\System32\DRIVERS\Rts516xIR.sys [x]
3 USBCCID; C:\Windows\System32\DRIVERS\RtsUCcid.sys [x]

========================== NetSvcs (Whitelisted) ===========

============ One Month Created Files and Folders ==============

2012-04-03 01:21 - 2012-04-03 01:21 - 0000000 ____D C:\FRST
2012-04-02 09:23 - 2012-04-02 15:17 - 0016504 ____A C:\Windows\WindowsUpdate.log
2012-04-02 08:46 - 2012-04-02 08:53 - 0015085 ____A C:\Users\***\Desktop\MBRCheck_04.02.12_18.46.47.txt
2012-04-02 08:44 - 2012-04-02 08:52 - 0069017 ____A C:\Users\***\Desktop\Report.txt
2012-04-02 08:43 - 2012-04-02 08:46 - 0138122 ____A C:\TDSSKiller.2.7.24.0_02.04.2012_18.43.53_log.txt
2012-04-02 08:43 - 2012-04-02 08:43 - 0000000 ____D C:\TDSS
2012-04-02 08:31 - 2012-04-02 08:52 - 0045504 ____A C:\Users\***\Desktop\Extras.Txt
2012-04-02 08:31 - 2012-04-02 08:51 - 0085474 ____A C:\Users\***\Desktop\OTL.Txt
2012-04-02 08:25 - 2012-04-02 08:16 - 0080384 ____A C:\Users\***\Desktop\MBRCheck.exe
2012-04-02 08:25 - 2012-04-02 07:53 - 0593920 ____A (OldTimer Tools) C:\Users\***\Desktop\OTL.exe
2012-04-02 08:07 - 2012-04-02 08:07 - 0001071 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2012-04-02 07:48 - 2012-04-02 07:54 - 0000000 ____D C:\TDSSKiller_Quarantine
2012-04-02 07:43 - 2012-04-02 07:39 - 4731392 ____A (AVAST Software) C:\Users\***\Desktop\aswMBR.exe
2012-04-02 03:32 - 2012-04-02 07:23 - 0000000 __SHD C:\Windows\System32\%APPDATA%
2012-04-02 03:29 - 2012-04-02 07:25 - 0000000 __ASH C:\Windows\System32\dds_log_ad13.cmd
2012-04-01 16:54 - 2012-04-02 15:13 - 0000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2012-04-01 16:54 - 2012-04-02 04:13 - 0418464 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2012-04-01 16:53 - 2012-04-01 16:53 - 0000000 __SHD C:\Users\***\AppData\Local\50bbacee
2012-03-27 15:00 - 2012-03-27 15:01 - 0000000 ____D C:\Program Files\iTunes
2012-03-27 15:00 - 2012-03-27 15:00 - 0000000 ____D C:\Program Files\iPod
2012-03-27 14:57 - 2012-03-27 14:57 - 0000000 ____D C:\Program Files\Bonjour
2012-03-27 14:52 - 2012-03-27 15:03 - 0000000 __SHD C:\Config.Msi
2012-03-27 14:52 - 2012-03-27 14:52 - 0000000 ____D C:\Program Files\Apple Software Update
2012-03-26 17:05 - 2012-03-26 17:05 - 1150448 ____A (Ellora Assets Corporation                                   ) C:\Users\***\Downloads\FreemakeVideoConverterSetup.exe
2012-03-25 17:20 - 2012-03-25 17:20 - 0002009 ____A C:\Users\Public\Desktop\TV-Guide starten.lnk
2012-03-25 17:20 - 2012-03-25 17:20 - 0000000 ____D C:\Program Files\iSaver
2012-03-25 17:18 - 2012-03-25 17:24 - 0000000 ____D C:\Users\***\AppData\Local\ScreeNet iSaver
2012-03-25 17:11 - 2012-03-25 17:11 - 9874880 ____A C:\Users\***\Downloads\sky_tvguide.zip
2012-03-25 17:11 - 2009-07-03 18:08 - 10593828 ____A (Acresso Software Inc.) C:\Users\***\Downloads\sky_tvguide.exe
2012-03-24 04:40 - 2012-03-24 04:53 - 0014431 ____A C:\Users\***\Desktop\Kündigung FS.odt
2012-03-21 05:28 - 2012-03-21 06:00 - 0016629 ____A C:\Users\***\Desktop\Kündigung.odt
2012-03-19 09:24 - 2012-03-19 11:06 - 0023319 ____A C:\Users\***\Desktop\Programmliste.ods
2012-03-14 18:01 - 2011-11-19 06:50 - 3968368 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2012-03-14 18:01 - 2011-11-19 06:50 - 3913584 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2012-03-14 08:41 - 2012-03-14 08:41 - 0033909 ____A C:\Users\***\Desktop\Handyvertrag.pdf
2012-03-14 08:33 - 2012-03-14 08:41 - 0012986 ____A C:\Users\***\Desktop\Handyvertrag.odt
2012-03-14 05:21 - 2012-02-02 19:54 - 2343424 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-03-14 05:20 - 2012-02-16 21:34 - 0826880 ____A (Microsoft Corporation) C:\Windows\System32\rdpcore.dll
2012-03-14 05:20 - 2012-02-16 20:14 - 0183808 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys
2012-03-14 05:20 - 2012-02-16 20:13 - 0024576 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tdtcp.sys
2012-03-14 05:20 - 2012-02-09 21:38 - 1077248 ____A (Microsoft Corporation) C:\Windows\System32\DWrite.dll
2012-03-14 05:20 - 2012-01-24 21:32 - 0129536 ____A (Microsoft Corporation) C:\Windows\System32\rdpcorekmts.dll
2012-03-14 05:20 - 2012-01-24 21:32 - 0058880 ____A (Microsoft Corporation) C:\Windows\System32\rdpwsx.dll
2012-03-14 05:20 - 2012-01-24 21:27 - 0008192 ____A (Microsoft Corporation) C:\Windows\System32\rdrmemptylst.exe
2012-03-11 12:46 - 2012-03-11 13:14 - 0014965 ____A C:\Users\***\Desktop\Praktikum.odt
2012-03-05 10:30 - 2012-03-06 11:46 - 0000000 ____D C:\Users\***\Documents\Die Kunst des Mordens – Der Marionettenspieler DE
2012-03-05 10:24 - 2012-03-05 10:24 - 0000000 ____D C:\Program Files\City Interactive

============ 3 Months Modified Files and Folders ===============

2012-04-03 01:21 - 2012-04-03 01:21 - 0000000 ____D C:\FRST
2012-04-02 15:17 - 2012-04-02 09:23 - 0016504 ____A C:\Windows\WindowsUpdate.log
2012-04-02 15:13 - 2012-04-01 16:54 - 0000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2012-04-02 15:07 - 2011-08-30 11:37 - 0000000 ____D C:\Windows\Internet Logs
2012-04-02 14:33 - 2010-11-21 19:42 - 0001094 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2012-04-02 10:25 - 2010-11-21 19:42 - 0001090 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2012-04-02 09:28 - 2009-07-13 20:34 - 0009696 ____A C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2012-04-02 09:28 - 2009-07-13 20:34 - 0009696 ____A C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2012-04-02 09:26 - 2010-06-29 12:27 - 1636444 ____A C:\Windows\System32\PerfStringBackup.INI
2012-04-02 09:24 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\System32\NDF
2012-04-02 09:21 - 2010-06-29 12:14 - 2361569280 __ASH C:\hiberfil.sys
2012-04-02 09:21 - 2009-07-13 20:53 - 0000006 ___AH C:\Windows\Tasks\SA.DAT
2012-04-02 08:53 - 2012-04-02 08:46 - 0015085 ____A C:\Users\***\Desktop\MBRCheck_04.02.12_18.46.47.txt
2012-04-02 08:52 - 2012-04-02 08:44 - 0069017 ____A C:\Users\***\Desktop\Report.txt
2012-04-02 08:52 - 2012-04-02 08:31 - 0045504 ____A C:\Users\***\Desktop\Extras.Txt
2012-04-02 08:51 - 2012-04-02 08:31 - 0085474 ____A C:\Users\***\Desktop\OTL.Txt
2012-04-02 08:46 - 2012-04-02 08:43 - 0138122 ____A C:\TDSSKiller.2.7.24.0_02.04.2012_18.43.53_log.txt
2012-04-02 08:43 - 2012-04-02 08:43 - 0000000 ____D C:\TDSS
2012-04-02 08:17 - 2011-08-27 18:31 - 0000000 ____D C:\Users\***\AppData\Roaming\Help
2012-04-02 08:16 - 2012-04-02 08:25 - 0080384 ____A C:\Users\***\Desktop\MBRCheck.exe
2012-04-02 08:07 - 2012-04-02 08:07 - 0001071 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2012-04-02 08:07 - 2011-08-06 15:24 - 0000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2012-04-02 07:54 - 2012-04-02 07:48 - 0000000 ____D C:\TDSSKiller_Quarantine
2012-04-02 07:53 - 2012-04-02 08:25 - 0593920 ____A (OldTimer Tools) C:\Users\***\Desktop\OTL.exe
2012-04-02 07:39 - 2012-04-02 07:43 - 4731392 ____A (AVAST Software) C:\Users\***\Desktop\aswMBR.exe
2012-04-02 07:25 - 2012-04-02 03:29 - 0000000 __ASH C:\Windows\System32\dds_log_ad13.cmd
2012-04-02 07:23 - 2012-04-02 03:32 - 0000000 __SHD C:\Windows\System32\%APPDATA%
2012-04-02 07:23 - 2011-08-19 14:41 - 0000000 ____D C:\Users\***\AppData\Roaming\ScreeNet iSaver
2012-04-02 07:23 - 2010-09-25 14:13 - 0000000 ____D C:\users\***
2012-04-02 07:23 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\System32\DriverStore
2012-04-02 07:23 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\registration
2012-04-02 07:23 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\AppCompat
2012-04-02 04:13 - 2012-04-01 16:54 - 0418464 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2012-04-02 04:13 - 2011-07-25 08:50 - 0070304 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2012-04-01 17:12 - 2010-10-14 11:58 - 0000000 ____D C:\Users\***\dwhelper
2012-04-01 16:53 - 2012-04-01 16:53 - 0000000 __SHD C:\Users\***\AppData\Local\50bbacee
2012-03-28 14:27 - 2010-11-10 13:39 - 0000000 ____D C:\Program Files\JDownloader
2012-03-28 05:34 - 2009-07-13 20:53 - 0032632 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2012-03-27 15:08 - 2010-09-25 15:02 - 0000000 ____D C:\Users\***\Desktop\Dateien
2012-03-27 15:03 - 2012-03-27 14:52 - 0000000 __SHD C:\Config.Msi
2012-03-27 15:01 - 2012-03-27 15:00 - 0000000 ____D C:\Program Files\iTunes
2012-03-27 15:00 - 2012-03-27 15:00 - 0000000 ____D C:\Program Files\iPod
2012-03-27 15:00 - 2011-01-05 12:51 - 0000000 ____D C:\Program Files\Common Files\Apple
2012-03-27 14:57 - 2012-03-27 14:57 - 0000000 ____D C:\Program Files\Bonjour
2012-03-27 14:57 - 2011-01-05 12:51 - 0000000 ____D C:\Users\All Users\Apple
2012-03-27 14:57 - 2011-01-05 12:51 - 0000000 ____D C:\ProgramData\Apple
2012-03-27 14:52 - 2012-03-27 14:52 - 0000000 ____D C:\Program Files\Apple Software Update
2012-03-26 17:05 - 2012-03-26 17:05 - 1150448 ____A (Ellora Assets Corporation                                   ) C:\Users\***\Downloads\FreemakeVideoConverterSetup.exe
2012-03-26 15:58 - 2011-08-06 15:34 - 0000000 ____D C:\Program Files\SUPERAntiSpyware
2012-03-25 17:24 - 2012-03-25 17:18 - 0000000 ____D C:\Users\***\AppData\Local\ScreeNet iSaver
2012-03-25 17:20 - 2012-03-25 17:20 - 0002009 ____A C:\Users\Public\Desktop\TV-Guide starten.lnk
2012-03-25 17:20 - 2012-03-25 17:20 - 0000000 ____D C:\Program Files\iSaver
2012-03-25 17:12 - 2010-06-29 12:30 - 0000000 ___HD C:\Program Files\InstallShield Installation Information
2012-03-25 17:11 - 2012-03-25 17:11 - 9874880 ____A C:\Users\***\Downloads\sky_tvguide.zip
2012-03-25 14:50 - 2011-05-28 20:51 - 0000000 ____D C:\Users\***\Documents\VirtualDJ
2012-03-24 04:53 - 2012-03-24 04:40 - 0014431 ____A C:\Users\***\Desktop\Kündigung FS.odt
2012-03-21 19:13 - 2011-05-15 19:33 - 0000000 ____D C:\Users\***\AppData\Roaming\vlc
2012-03-21 06:00 - 2012-03-21 05:28 - 0016629 ____A C:\Users\***\Desktop\Kündigung.odt
2012-03-20 16:43 - 2010-06-29 12:41 - 0000000 ____D C:\Users\All Users\Microsoft Help
2012-03-20 16:43 - 2010-06-29 12:41 - 0000000 ____D C:\ProgramData\Microsoft Help
2012-03-20 16:41 - 2009-07-13 18:37 - 0000000 ____D C:\Program Files\Common Files\microsoft shared
2012-03-20 16:39 - 2009-07-13 18:04 - 0000510 ____A C:\Windows\win.ini
2012-03-19 15:41 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\System32\config\TxR
2012-03-19 15:39 - 2011-08-30 11:38 - 0000000 ____D C:\Windows\System32\ZoneLabs
2012-03-19 15:39 - 2011-06-14 21:07 - 0000000 ____D C:\users\test
2012-03-19 15:39 - 2010-06-29 12:31 - 0000000 ____D C:\Users\All Users\FLEXnet
2012-03-19 15:39 - 2010-06-29 12:31 - 0000000 ____D C:\ProgramData\FLEXnet
2012-03-19 15:39 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\System32\wfp
2012-03-19 15:38 - 2010-09-30 16:11 - 0000000 ___HD C:\Users\All Users\CanonBJ
2012-03-19 15:38 - 2010-09-30 16:11 - 0000000 ___HD C:\ProgramData\CanonBJ
2012-03-19 11:06 - 2012-03-19 09:24 - 0023319 ____A C:\Users\***\Desktop\Programmliste.ods
2012-03-15 05:19 - 2009-07-13 20:33 - 3805600 ____A C:\Windows\System32\FNTCACHE.DAT
2012-03-14 18:02 - 2010-11-09 16:58 - 54215544 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2012-03-14 08:41 - 2012-03-14 08:41 - 0033909 ____A C:\Users\***\Desktop\Handyvertrag.pdf
2012-03-14 08:41 - 2012-03-14 08:33 - 0012986 ____A C:\Users\***\Desktop\Handyvertrag.odt
2012-03-14 06:31 - 2010-09-27 10:40 - 0000000 ____D C:\Program Files\Mozilla Firefox
2012-03-13 08:38 - 2010-09-27 17:00 - 0000000 ____D C:\Users\***\AppData\Roaming\Adobe
2012-03-11 15:28 - 2012-02-24 09:36 - 0024619 ____A C:\Users\***\Desktop\Wohnung.odt
2012-03-11 13:14 - 2012-03-11 12:46 - 0014965 ____A C:\Users\***\Desktop\Praktikum.odt
2012-03-07 12:29 - 2010-09-27 17:00 - 0000000 ____D C:\Users\***\AppData\Local\Adobe
2012-03-07 12:29 - 2010-06-29 12:40 - 0000000 ____D C:\Users\All Users\Adobe
2012-03-07 12:29 - 2010-06-29 12:40 - 0000000 ____D C:\ProgramData\Adobe
2012-03-07 12:29 - 2010-06-29 12:40 - 0000000 ____D C:\Program Files\Common Files\Adobe
2012-03-07 12:29 - 2010-06-29 12:40 - 0000000 ____D C:\Program Files\Adobe
2012-03-06 11:46 - 2012-03-05 10:30 - 0000000 ____D C:\Users\***\Documents\Die Kunst des Mordens – Der Marionettenspieler DE
2012-03-05 10:24 - 2012-03-05 10:24 - 0000000 ____D C:\Program Files\City Interactive
2012-03-01 19:38 - 2010-09-26 18:14 - 0000000 ____D C:\Alles
2012-02-29 19:49 - 2012-02-29 19:49 - 0000004 ____H C:\Users\***\jmg
2012-02-29 19:25 - 2009-07-13 18:37 - 0000000 ___RD C:\users\Public
2012-02-29 11:22 - 2012-02-29 11:21 - 0000215 ____A C:\Users\***\Desktop\Ausreden.txt
2012-02-28 10:46 - 2010-09-30 18:37 - 0000000 ____D C:\Users\***\AppData\Local\ElevatedDiagnostics
2012-02-22 15:09 - 2010-09-25 15:04 - 0000000 ____D C:\Users\***\AppData\Roaming\ICQ
2012-02-16 21:34 - 2012-03-14 05:20 - 0826880 ____A (Microsoft Corporation) C:\Windows\System32\rdpcore.dll
2012-02-16 20:14 - 2012-03-14 05:20 - 0183808 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys
2012-02-16 20:13 - 2012-03-14 05:20 - 0024576 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tdtcp.sys
2012-02-16 09:22 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\Microsoft.NET
2012-02-15 13:57 - 2010-09-25 14:13 - 0000174 ___SH C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
2012-02-15 13:55 - 2010-06-29 13:01 - 0000000 ____D C:\Program Files\Microsoft Silverlight
2012-02-12 09:55 - 2012-02-12 09:53 - 0000000 ____D C:\Program Files\Dr. Watson - Katakomben
2012-02-12 07:56 - 2011-05-11 06:43 - 0000000 ____D C:\Program Files\Quadriga Games
2012-02-11 09:12 - 2011-01-05 12:57 - 0000000 ____D C:\Users\***\AppData\Roaming\Apple Computer
2012-02-10 17:41 - 2009-07-13 20:52 - 0000000 ____D C:\Windows\Downloaded Program Files
2012-02-09 21:38 - 2012-03-14 05:20 - 1077248 ____A (Microsoft Corporation) C:\Windows\System32\DWrite.dll
2012-02-02 19:54 - 2012-03-14 05:21 - 2343424 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-01-31 04:44 - 2010-09-27 16:56 - 0237072 ____N (Microsoft Corporation) C:\Windows\System32\MpSigStub.exe
2012-01-30 12:15 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\System32\config\Journal
2012-01-30 10:01 - 2012-01-30 10:01 - 0000000 ____D C:\Windows\System32\Adobe
2012-01-24 21:32 - 2012-03-14 05:20 - 0129536 ____A (Microsoft Corporation) C:\Windows\System32\rdpcorekmts.dll
2012-01-24 21:32 - 2012-03-14 05:20 - 0058880 ____A (Microsoft Corporation) C:\Windows\System32\rdpwsx.dll
2012-01-24 21:27 - 2012-03-14 05:20 - 0008192 ____A (Microsoft Corporation) C:\Windows\System32\rdrmemptylst.exe
2012-01-12 20:02 - 2011-08-15 20:25 - 0000000 ____D C:\Users\***\Desktop\Tippspiele
2012-01-06 02:19 - 2012-01-06 02:19 - 0000000 ____D C:\Program Files\Common Files\Java
2012-01-06 02:18 - 2012-01-06 02:17 - 0005116 ____A C:\Windows\System32\jupdate-1.6.0_30-b12.log
2012-01-06 02:18 - 2010-09-26 18:26 - 0000000 ____D C:\Program Files\Java

========================= Known DLLs (Whitelisted) ============


========================= Bamital & volsnap Check ============

C:\Windows\explorer.exe => MD5 is legit

C:\Windows\System32\winlogon.exe => MD5 is legit

C:\Windows\System32\wininit.exe => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\System32\User32.dll => MD5 is legit

C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

========================= Memory info ====================== 

Percentage of memory in use: 15%
Total physical RAM: 3002.89 MB
Available physical RAM: 2529.49 MB
Total Pagefile: 3001.17 MB
Available Pagefile: 2530.11 MB
Total Virtual: 2047.88 MB
Available Virtual: 1958.3 MB

======================= Partitions =========================

1 Drive c: () (Fixed) (Total:252.81 GB) (Free:176.73 GB) NTFS
2 Drive d: (LENOVO) (Fixed) (Total:30.33 GB) (Free:26.29 GB) NTFS
4 Drive g: () (Removable) (Total:1.89 GB) (Free:1.87 GB) FAT
5 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
6 Drive y: () (Fixed) (Total:0.2 GB) (Free:0.16 GB) NTFS ==>[System with boot components (obtained from reading drive)]

  Datentr„ger ###  Status         Gr”áe    Frei     Dyn  GPT
  ---------------  -------------  -------  -------  ---  ---
  Datentr„ger 0    Online          298 GB  1024 KB         
  Datentr„ger 1    Online         1935 MB      0 B         

Datentr„gerpartitionierung wird beendet...


==========================================================

Last Boot: 2012-03-30 10:47

======================= End Of Log ==========================

Psychotic · 03.04.2012, 18:38

Schritt 1: Fix mit FRST

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKU\***\...\Winlogon: [Shell] C:\Users\***\AppData\Local\50bbacee\X [54784 2012-04-01] ()
C:\Users\***\AppData\Local\50bbacee

Achtung: Versetze die durch "*" veränderten Werte wieder in ihren Ursprungszustand zurück!

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Schritt 2: Defogger

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.

Schritt 3: Gmer

Starte Windows normal!

Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
nichts am Rechner arbeiten,
nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)

Plagegeister aller Art und deren Bekämpfung: kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)