Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.04.2012, 18:07   #1
blauer_alex
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)



Hallo miteinander.

Gestern Abend hatte ich das Problem, dass mein Internet vom einen auf den anderen Moment den Geist aufgegeben hat. Da wir einen älteren Router haben und dies öfter vorkommt (Überhitzung), habe ich mir dabei nichts gedacht. Allerdings war es heute morgen noch genauso der Fall, was schon komisch war. Habe dann an meinen Laptop statt dem WLAN ein Kabel angeschlossen und sieh da, es funktionierte damit, WLAN alerdings definitiv nicht.
Hatte mich dann vorest mit der Lösung abgefunden, bis ich diverse Meldungen von MSE bekam, dass irgendwelche Schädlinge auf dem PC sind. Da ich aber zu dem Zeitpunkt des Internet-Ausfalls ausschließlich auf bekannten Seiten gesurft hatte, konnte ich mir das nicht erklären. Nach mehreren Reinigungsvorgängen und Neustarts habe ich auch andere Programme durchlaufen lassen, immer wurde die Bedrohung entfernt, war aber nach dem Neustart wieder da, in den meisten Fällen eine "sirefef.??"-Datei (Fragezeichen = dirverse Buchstaben). Selbst das Internet war danach komplett weg, egal ob mit Kabel oder über WLAN. Hab dann hier schon etwas rumgeschaut und bin auf diesen Thread gestoßen,

http://www.trojaner-board.de/111083-...tml#post787670

da ich eigentlich ebenso alle Programme schon durchlaufen lassen habe, die der Threadersteller auch hatte. Auch ohne Erfolg. Hab dann noch die dort vorgeschlagenen Programme OTL, TDSS-Killer und MBR-Check laufen lassen und die Logfiles im Anhang angeheftet. Momentan sind die sirefef-Dinger weg, aber das Internet ebenso, auch wenn er mir eine scheinbar funktionierende Verbindung anzeigt.

Da jenes Problem in dem Thread auch gelöst wurde, habe ich vollstes Vertrauen in euch, dass ihr einem PC-Laien wie mir auch bei der Sache helfen könnt.


Vielen Dank im Vorraus,

Alex

Alt 02.04.2012, 22:24   #2
Psychotic
/// Malwareteam
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)





Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scans durchführen zu denen du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.


Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


NICHT gut - du hast das ZeroAccess-Rootkit auf dem Rechner, das ist immer ziemlich nervig!


FRST


Downloade dir bitte Farbar's Recovery Scan Tool und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und starte von der CD
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !!
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument --> Datei --> Speichern unter und wähle Computer Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein. e:\frst.exe Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.
__________________

__________________

Alt 03.04.2012, 00:26   #3
blauer_alex
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)



Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 14-03-2012
Ran by SYSTEM at 03-04-2012 01:21:14
Running from G:\
Windows 7 Home Premium   (X86) OS Language: English(US) 
The current controlset is ControlSet001

========================== Registry (Whitelisted) =============

HKLM\...\Run: [IgfxTray] C:\windows\system32\igfxtray.exe [141848 2009-10-01] (Intel Corporation)
HKLM\...\Run: [HotKeysCmds] C:\windows\system32\hkcmd.exe [174104 2009-10-01] (Intel Corporation)
HKLM\...\Run: [Persistence] C:\windows\system32\igfxpers.exe [151064 2009-10-01] (Intel Corporation)
HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s [7739936 2009-09-11] (Realtek Semiconductor)
HKLM\...\Run: [IndicatorListener] rundll32.exe "C:\Program Files\Motorola\Bluetooth\mkil.dll",StartNotification [107784 2009-08-12] (Motorola, Inc.)
HKLM\...\Run: [BTMTrayAgent] rundll32.exe "C:\Program Files\Motorola\Bluetooth\btmshell.dll",TrayApp [17753352 2009-07-22] (Motorola, Inc.)
HKLM\...\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe [1557800 2009-09-03] (Synaptics Incorporated)
HKLM\...\Run: [PSQLLauncher] "C:\Program Files\Lenovo\LenovoSecuritySolution FP\launcher.exe" /startup [55048 2009-09-11] (UPEK Inc.)
HKLM\...\Run: [UpdateP2GShortCut] "C:\Program Files\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\Lenovo\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\5.0" [218408 2008-12-03] (CyberLink Corp.)
HKLM\...\Run: [EnergyUtility] C:\Program Files\Lenovo\Energy Management\utility.exe [4114288 2009-09-29] (Lenovo(beijing) Limited)
HKLM\...\Run: [Energy Management] C:\Program Files\Lenovo\Energy Management\Energy Management.exe [5064560 2009-09-29] (Lenovo (Beijing) Limited)
HKLM\...\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" [74752 2010-07-12] (Nullsoft, Inc.)
HKLM\...\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [421888 2010-11-29] (Apple Inc.)
HKLM\...\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey [997920 2011-06-15] (Microsoft Corporation)
HKLM\...\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [500208 2010-03-05] (Adobe Systems Incorporated)
HKLM\...\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated)
HKLM\...\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin [406992 2010-02-21] (Adobe Systems Incorporated)
HKLM\...\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [1043968 2011-02-18] (Check Point Software Technologies LTD)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [254696 2011-06-09] (Sun Microsystems, Inc.)
HKLM\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [37296 2012-01-03] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-01-02] (Adobe Systems Incorporated)
HKLM\...\Run: [iSaverCtrl] C:\Program Files\iSaver\iSaverCtrl.exe --startup [1160192 2009-06-08] (infoMantis GmbH)
HKLM\...\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59240 2012-02-20] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" [421736 2012-03-06] (Apple Inc.)
HKU\***\...\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO [1786168 2010-09-24] (Piriform Ltd)
HKU\***\...\Winlogon: [Shell] C:\Users\***\AppData\Local\50bbacee\X [54784 2012-04-01] ()
Winlogon\Notify\igfxcui: igfxdev.dll (Intel Corporation)
Winlogon\Notify\psfus: C:\Program Files\Lenovo\LenovoSecuritySolution FP\psqlpwd.dll [X]
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{6BF9D236-A1D2-426D-9AB6-7E95DCBAC6B4}: [NameServer]193.189.244.225 193.189.244.206
Tcpip\..\Interfaces\{7010AAE3-7CBB-46A4-8500-130D143CA629}: [NameServer]193.189.244.225 193.189.244.206
Lsa: [Notification Packages] scecli
C:\Program Files\Lenovo\LenovoSecuritySolution FP\psqlpwd.dll

================================ Services (Whitelisted) ==================

2 !SASCORE; "C:\Program Files\SUPERAntiSpyware\SASCORE.EXE" [116608 2011-08-29] (SUPERAntiSpyware.com)
3 AdobeFlashPlayerUpdateSvc; C:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [253600 2012-04-02] (Adobe Systems Incorporated)
2 BcmSqlStartupSvc; "C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe" [30312 2008-01-16] (Microsoft Corporation)
3 Bluetooth Device Manager; "C:\Program Files\Motorola\Bluetooth\devmgrsrv.exe" [3473672 2009-07-22] (Motorola, Inc.)
3 Bluetooth Media Service; "C:\Program Files\Motorola\Bluetooth\audiosrv.exe" [709384 2009-07-22] (Motorola, Inc.)
2 Bluetooth OBEX Service; "C:\Program Files\Motorola\Bluetooth\obexsrv.exe" [474888 2009-07-22] (Motorola, Inc.)
2 FsUsbExService; C:\windows\system32\FsUsbExService.Exe [233472 2009-07-15] (Teruten)
2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [136176 2010-11-21] (Google Inc.)
3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [136176 2010-11-21] (Google Inc.)
2 IGRS; "C:\Program Files\Lenovo\ReadyComm\common\IGRS.exe" [38152 2009-07-14] (Lenovo Group Limited)
3 Lenovo ReadyComm AppSvc; "C:\Program Files\Lenovo\ReadyComm\AppSvc.exe" [414984 2009-07-28] (Lenovo Group Limited)
3 Lenovo ReadyComm ConnSvc; "C:\Program Files\Lenovo\ReadyComm\ConnSvc.exe" [472328 2009-07-28] (Lenovo Group Limited)
2 MsMpSvc; "C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe" [11736 2011-04-27] (Microsoft Corporation)
2 Nero BackItUp Scheduler 4.0; C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe [935208 2008-08-29] (Nero AG)
3 NisSrv; "C:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe" [208944 2011-04-27] (Microsoft Corporation)
3 PS_MDP; C:\Program Files\Lenovo\ReadyComm\PS_MDP.dll [276296 2009-07-15] (Lenovo Group Limited)
2 ReadyComm.DirectRouter; C:\Program Files\Lenovo\ReadyComm\common\router.dll [103688 2009-07-14] (Lenovo Group Limited)
3 SwitchBoard; "C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [517096 2010-02-19] (Adobe Systems Incorporated)
2 UpekSrvc; "C:\Program Files\Lenovo\LenovoSecuritySolution FP\upeksrvc.exe" [44808 2009-09-11] (UPEK Inc.)
2 vsmon; C:\Windows\System32\ZoneLabs\vsmon.exe -service [2435592 2011-02-18] (Check Point Software Technologies LTD)
3 MSSQL$MSSMLBIZ; "c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ [x]
4 MSSQLServerADHelper; "c:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe" [x]
2 SQLBrowser; "c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe" [x]
2 SQLWriter; "c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [x]

========================== Drivers (Whitelisted) =============

2 acedrv11; \??\C:\windows\system32\drivers\acedrv11.sys [185472 2010-02-24] (Protect Software GmbH)
3 ACPIVPC; C:\Windows\System32\DRIVERS\AcpiVpc.sys [21520 2009-05-19] (Lenovo Corporation)
3 Bridge0; C:\Windows\System32\drivers\WDBridge.sys [63240 2009-07-28] (Lenovo)
3 BTMCOM; C:\Windows\System32\Drivers\btmcom.sys [40448 2009-07-09] (Motorola, Inc.)
3 BTMUSB; C:\Windows\System32\Drivers\btmusb.sys [516608 2009-07-13] (Motorola, Inc.)
1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [218688 2011-06-20] (DT Soft Ltd)
3 ewusbnet; C:\Windows\System32\DRIVERS\ewusbnet.sys [201168 2009-12-07] (Huawei Technologies Co., Ltd.)
3 FsUsbExDisk; \??\C:\windows\system32\FsUsbExDisk.SYS [36608 2009-07-15] ()
3 hwdatacard; C:\Windows\System32\DRIVERS\ewusbmdm.sys [103168 2009-12-07] (Huawei Technologies Co., Ltd.)
3 hwusbdev; C:\Windows\System32\DRIVERS\ewusbdev.sys [101120 2009-10-12] (Huawei Technologies Co., Ltd.)
3 IntcHdmiAddService; C:\Windows\System32\drivers\IntcHdmi.sys [122368 2009-10-01] (Intel(R) Corporation)
3 k57nd60x; C:\Windows\System32\DRIVERS\k57nd60x.sys [229888 2009-07-13] (Broadcom Corporation)
1 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [165648 2011-04-18] (Microsoft Corporation)
3 MpNWMon; C:\Windows\System32\DRIVERS\MpNWMon.sys [43392 2011-04-18] (Microsoft Corporation)
3 netw5v32; C:\Windows\System32\DRIVERS\netw5v32.sys [4231168 2009-07-13] (Intel Corporation)
3 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [65024 2011-04-27] (Microsoft Corporation)
3 pccsmcfd; C:\Windows\System32\DRIVERS\pccsmcfd.sys [21632 2007-09-17] (Nokia)
1 SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS [12880 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
1 SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS [67664 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
0 sfdrv01; C:\Windows\System32\drivers\sfdrv01.sys [59000 2009-02-03] (Protection Technology (StarForce))
0 sfdrv01a; C:\Windows\System32\drivers\sfdrv01a.sys [63096 2009-02-03] (Protection Technology (StarForce))
0 sfhlp02; C:\Windows\System32\drivers\sfhlp02.sys [13680 2006-06-14] (Protection Technology (StarForce))
0 sfsync04; C:\Windows\System32\drivers\sfsync04.sys [59520 2009-02-03] (Protection Technology (StarForce))
0 sfvfs02; C:\Windows\System32\drivers\sfvfs02.sys [83320 2007-02-08] (Protection Technology (StarForce))
3 SNP2UVC; C:\Windows\System32\DRIVERS\snp2uvc.sys [1759744 2009-08-10] ()
4 sptd; C:\Windows\System32\Drivers\sptd.sys [691696 2010-09-25] (Duplex Secure Ltd.)
3 sscdbus; C:\Windows\System32\DRIVERS\sscdbus.sys [80552 2007-07-03] (MCCI Corporation)
3 sscdmdfl; C:\Windows\System32\DRIVERS\sscdmdfl.sys [11944 2007-07-03] (MCCI Corporation)
3 sscdmdm; C:\Windows\System32\DRIVERS\sscdmdm.sys [106792 2007-07-03] (MCCI Corporation)
1 Vsdatant; C:\Windows\System32\DRIVERS\vsdatant.sys [461400 2010-05-15] (Check Point Software Technologies LTD)
3 wdmirror; C:\Windows\System32\DRIVERS\WDMirror.sys [11792 2009-07-16] (Windows (R) Codename Longhorn DDK provider)
3 WimFltr; C:\Windows\System32\DRIVERS\wimfltr.sys [128104 2008-08-06] (Microsoft Corporation)
3 wsvd; C:\Windows\System32\DRIVERS\wsvd.sys [81704 2009-07-21] (CyberLink)
3 RSUSBSTOR; C:\Windows\System32\Drivers\RtsUStor.sys [x]
3 RtsUIR; C:\Windows\System32\DRIVERS\Rts516xIR.sys [x]
3 USBCCID; C:\Windows\System32\DRIVERS\RtsUCcid.sys [x]

========================== NetSvcs (Whitelisted) ===========

============ One Month Created Files and Folders ==============

2012-04-03 01:21 - 2012-04-03 01:21 - 0000000 ____D C:\FRST
2012-04-02 09:23 - 2012-04-02 15:17 - 0016504 ____A C:\Windows\WindowsUpdate.log
2012-04-02 08:46 - 2012-04-02 08:53 - 0015085 ____A C:\Users\***\Desktop\MBRCheck_04.02.12_18.46.47.txt
2012-04-02 08:44 - 2012-04-02 08:52 - 0069017 ____A C:\Users\***\Desktop\Report.txt
2012-04-02 08:43 - 2012-04-02 08:46 - 0138122 ____A C:\TDSSKiller.2.7.24.0_02.04.2012_18.43.53_log.txt
2012-04-02 08:43 - 2012-04-02 08:43 - 0000000 ____D C:\TDSS
2012-04-02 08:31 - 2012-04-02 08:52 - 0045504 ____A C:\Users\***\Desktop\Extras.Txt
2012-04-02 08:31 - 2012-04-02 08:51 - 0085474 ____A C:\Users\***\Desktop\OTL.Txt
2012-04-02 08:25 - 2012-04-02 08:16 - 0080384 ____A C:\Users\***\Desktop\MBRCheck.exe
2012-04-02 08:25 - 2012-04-02 07:53 - 0593920 ____A (OldTimer Tools) C:\Users\***\Desktop\OTL.exe
2012-04-02 08:07 - 2012-04-02 08:07 - 0001071 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2012-04-02 07:48 - 2012-04-02 07:54 - 0000000 ____D C:\TDSSKiller_Quarantine
2012-04-02 07:43 - 2012-04-02 07:39 - 4731392 ____A (AVAST Software) C:\Users\***\Desktop\aswMBR.exe
2012-04-02 03:32 - 2012-04-02 07:23 - 0000000 __SHD C:\Windows\System32\%APPDATA%
2012-04-02 03:29 - 2012-04-02 07:25 - 0000000 __ASH C:\Windows\System32\dds_log_ad13.cmd
2012-04-01 16:54 - 2012-04-02 15:13 - 0000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2012-04-01 16:54 - 2012-04-02 04:13 - 0418464 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2012-04-01 16:53 - 2012-04-01 16:53 - 0000000 __SHD C:\Users\***\AppData\Local\50bbacee
2012-03-27 15:00 - 2012-03-27 15:01 - 0000000 ____D C:\Program Files\iTunes
2012-03-27 15:00 - 2012-03-27 15:00 - 0000000 ____D C:\Program Files\iPod
2012-03-27 14:57 - 2012-03-27 14:57 - 0000000 ____D C:\Program Files\Bonjour
2012-03-27 14:52 - 2012-03-27 15:03 - 0000000 __SHD C:\Config.Msi
2012-03-27 14:52 - 2012-03-27 14:52 - 0000000 ____D C:\Program Files\Apple Software Update
2012-03-26 17:05 - 2012-03-26 17:05 - 1150448 ____A (Ellora Assets Corporation                                   ) C:\Users\***\Downloads\FreemakeVideoConverterSetup.exe
2012-03-25 17:20 - 2012-03-25 17:20 - 0002009 ____A C:\Users\Public\Desktop\TV-Guide starten.lnk
2012-03-25 17:20 - 2012-03-25 17:20 - 0000000 ____D C:\Program Files\iSaver
2012-03-25 17:18 - 2012-03-25 17:24 - 0000000 ____D C:\Users\***\AppData\Local\ScreeNet iSaver
2012-03-25 17:11 - 2012-03-25 17:11 - 9874880 ____A C:\Users\***\Downloads\sky_tvguide.zip
2012-03-25 17:11 - 2009-07-03 18:08 - 10593828 ____A (Acresso Software Inc.) C:\Users\***\Downloads\sky_tvguide.exe
2012-03-24 04:40 - 2012-03-24 04:53 - 0014431 ____A C:\Users\***\Desktop\Kündigung FS.odt
2012-03-21 05:28 - 2012-03-21 06:00 - 0016629 ____A C:\Users\***\Desktop\Kündigung.odt
2012-03-19 09:24 - 2012-03-19 11:06 - 0023319 ____A C:\Users\***\Desktop\Programmliste.ods
2012-03-14 18:01 - 2011-11-19 06:50 - 3968368 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2012-03-14 18:01 - 2011-11-19 06:50 - 3913584 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2012-03-14 08:41 - 2012-03-14 08:41 - 0033909 ____A C:\Users\***\Desktop\Handyvertrag.pdf
2012-03-14 08:33 - 2012-03-14 08:41 - 0012986 ____A C:\Users\***\Desktop\Handyvertrag.odt
2012-03-14 05:21 - 2012-02-02 19:54 - 2343424 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-03-14 05:20 - 2012-02-16 21:34 - 0826880 ____A (Microsoft Corporation) C:\Windows\System32\rdpcore.dll
2012-03-14 05:20 - 2012-02-16 20:14 - 0183808 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys
2012-03-14 05:20 - 2012-02-16 20:13 - 0024576 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tdtcp.sys
2012-03-14 05:20 - 2012-02-09 21:38 - 1077248 ____A (Microsoft Corporation) C:\Windows\System32\DWrite.dll
2012-03-14 05:20 - 2012-01-24 21:32 - 0129536 ____A (Microsoft Corporation) C:\Windows\System32\rdpcorekmts.dll
2012-03-14 05:20 - 2012-01-24 21:32 - 0058880 ____A (Microsoft Corporation) C:\Windows\System32\rdpwsx.dll
2012-03-14 05:20 - 2012-01-24 21:27 - 0008192 ____A (Microsoft Corporation) C:\Windows\System32\rdrmemptylst.exe
2012-03-11 12:46 - 2012-03-11 13:14 - 0014965 ____A C:\Users\***\Desktop\Praktikum.odt
2012-03-05 10:30 - 2012-03-06 11:46 - 0000000 ____D C:\Users\***\Documents\Die Kunst des Mordens – Der Marionettenspieler DE
2012-03-05 10:24 - 2012-03-05 10:24 - 0000000 ____D C:\Program Files\City Interactive

============ 3 Months Modified Files and Folders ===============

2012-04-03 01:21 - 2012-04-03 01:21 - 0000000 ____D C:\FRST
2012-04-02 15:17 - 2012-04-02 09:23 - 0016504 ____A C:\Windows\WindowsUpdate.log
2012-04-02 15:13 - 2012-04-01 16:54 - 0000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2012-04-02 15:07 - 2011-08-30 11:37 - 0000000 ____D C:\Windows\Internet Logs
2012-04-02 14:33 - 2010-11-21 19:42 - 0001094 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2012-04-02 10:25 - 2010-11-21 19:42 - 0001090 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2012-04-02 09:28 - 2009-07-13 20:34 - 0009696 ____A C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2012-04-02 09:28 - 2009-07-13 20:34 - 0009696 ____A C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2012-04-02 09:26 - 2010-06-29 12:27 - 1636444 ____A C:\Windows\System32\PerfStringBackup.INI
2012-04-02 09:24 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\System32\NDF
2012-04-02 09:21 - 2010-06-29 12:14 - 2361569280 __ASH C:\hiberfil.sys
2012-04-02 09:21 - 2009-07-13 20:53 - 0000006 ___AH C:\Windows\Tasks\SA.DAT
2012-04-02 08:53 - 2012-04-02 08:46 - 0015085 ____A C:\Users\***\Desktop\MBRCheck_04.02.12_18.46.47.txt
2012-04-02 08:52 - 2012-04-02 08:44 - 0069017 ____A C:\Users\***\Desktop\Report.txt
2012-04-02 08:52 - 2012-04-02 08:31 - 0045504 ____A C:\Users\***\Desktop\Extras.Txt
2012-04-02 08:51 - 2012-04-02 08:31 - 0085474 ____A C:\Users\***\Desktop\OTL.Txt
2012-04-02 08:46 - 2012-04-02 08:43 - 0138122 ____A C:\TDSSKiller.2.7.24.0_02.04.2012_18.43.53_log.txt
2012-04-02 08:43 - 2012-04-02 08:43 - 0000000 ____D C:\TDSS
2012-04-02 08:17 - 2011-08-27 18:31 - 0000000 ____D C:\Users\***\AppData\Roaming\Help
2012-04-02 08:16 - 2012-04-02 08:25 - 0080384 ____A C:\Users\***\Desktop\MBRCheck.exe
2012-04-02 08:07 - 2012-04-02 08:07 - 0001071 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2012-04-02 08:07 - 2011-08-06 15:24 - 0000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2012-04-02 07:54 - 2012-04-02 07:48 - 0000000 ____D C:\TDSSKiller_Quarantine
2012-04-02 07:53 - 2012-04-02 08:25 - 0593920 ____A (OldTimer Tools) C:\Users\***\Desktop\OTL.exe
2012-04-02 07:39 - 2012-04-02 07:43 - 4731392 ____A (AVAST Software) C:\Users\***\Desktop\aswMBR.exe
2012-04-02 07:25 - 2012-04-02 03:29 - 0000000 __ASH C:\Windows\System32\dds_log_ad13.cmd
2012-04-02 07:23 - 2012-04-02 03:32 - 0000000 __SHD C:\Windows\System32\%APPDATA%
2012-04-02 07:23 - 2011-08-19 14:41 - 0000000 ____D C:\Users\***\AppData\Roaming\ScreeNet iSaver
2012-04-02 07:23 - 2010-09-25 14:13 - 0000000 ____D C:\users\***
2012-04-02 07:23 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\System32\DriverStore
2012-04-02 07:23 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\registration
2012-04-02 07:23 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\AppCompat
2012-04-02 04:13 - 2012-04-01 16:54 - 0418464 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2012-04-02 04:13 - 2011-07-25 08:50 - 0070304 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2012-04-01 17:12 - 2010-10-14 11:58 - 0000000 ____D C:\Users\***\dwhelper
2012-04-01 16:53 - 2012-04-01 16:53 - 0000000 __SHD C:\Users\***\AppData\Local\50bbacee
2012-03-28 14:27 - 2010-11-10 13:39 - 0000000 ____D C:\Program Files\JDownloader
2012-03-28 05:34 - 2009-07-13 20:53 - 0032632 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2012-03-27 15:08 - 2010-09-25 15:02 - 0000000 ____D C:\Users\***\Desktop\Dateien
2012-03-27 15:03 - 2012-03-27 14:52 - 0000000 __SHD C:\Config.Msi
2012-03-27 15:01 - 2012-03-27 15:00 - 0000000 ____D C:\Program Files\iTunes
2012-03-27 15:00 - 2012-03-27 15:00 - 0000000 ____D C:\Program Files\iPod
2012-03-27 15:00 - 2011-01-05 12:51 - 0000000 ____D C:\Program Files\Common Files\Apple
2012-03-27 14:57 - 2012-03-27 14:57 - 0000000 ____D C:\Program Files\Bonjour
2012-03-27 14:57 - 2011-01-05 12:51 - 0000000 ____D C:\Users\All Users\Apple
2012-03-27 14:57 - 2011-01-05 12:51 - 0000000 ____D C:\ProgramData\Apple
2012-03-27 14:52 - 2012-03-27 14:52 - 0000000 ____D C:\Program Files\Apple Software Update
2012-03-26 17:05 - 2012-03-26 17:05 - 1150448 ____A (Ellora Assets Corporation                                   ) C:\Users\***\Downloads\FreemakeVideoConverterSetup.exe
2012-03-26 15:58 - 2011-08-06 15:34 - 0000000 ____D C:\Program Files\SUPERAntiSpyware
2012-03-25 17:24 - 2012-03-25 17:18 - 0000000 ____D C:\Users\***\AppData\Local\ScreeNet iSaver
2012-03-25 17:20 - 2012-03-25 17:20 - 0002009 ____A C:\Users\Public\Desktop\TV-Guide starten.lnk
2012-03-25 17:20 - 2012-03-25 17:20 - 0000000 ____D C:\Program Files\iSaver
2012-03-25 17:12 - 2010-06-29 12:30 - 0000000 ___HD C:\Program Files\InstallShield Installation Information
2012-03-25 17:11 - 2012-03-25 17:11 - 9874880 ____A C:\Users\***\Downloads\sky_tvguide.zip
2012-03-25 14:50 - 2011-05-28 20:51 - 0000000 ____D C:\Users\***\Documents\VirtualDJ
2012-03-24 04:53 - 2012-03-24 04:40 - 0014431 ____A C:\Users\***\Desktop\Kündigung FS.odt
2012-03-21 19:13 - 2011-05-15 19:33 - 0000000 ____D C:\Users\***\AppData\Roaming\vlc
2012-03-21 06:00 - 2012-03-21 05:28 - 0016629 ____A C:\Users\***\Desktop\Kündigung.odt
2012-03-20 16:43 - 2010-06-29 12:41 - 0000000 ____D C:\Users\All Users\Microsoft Help
2012-03-20 16:43 - 2010-06-29 12:41 - 0000000 ____D C:\ProgramData\Microsoft Help
2012-03-20 16:41 - 2009-07-13 18:37 - 0000000 ____D C:\Program Files\Common Files\microsoft shared
2012-03-20 16:39 - 2009-07-13 18:04 - 0000510 ____A C:\Windows\win.ini
2012-03-19 15:41 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\System32\config\TxR
2012-03-19 15:39 - 2011-08-30 11:38 - 0000000 ____D C:\Windows\System32\ZoneLabs
2012-03-19 15:39 - 2011-06-14 21:07 - 0000000 ____D C:\users\test
2012-03-19 15:39 - 2010-06-29 12:31 - 0000000 ____D C:\Users\All Users\FLEXnet
2012-03-19 15:39 - 2010-06-29 12:31 - 0000000 ____D C:\ProgramData\FLEXnet
2012-03-19 15:39 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\System32\wfp
2012-03-19 15:38 - 2010-09-30 16:11 - 0000000 ___HD C:\Users\All Users\CanonBJ
2012-03-19 15:38 - 2010-09-30 16:11 - 0000000 ___HD C:\ProgramData\CanonBJ
2012-03-19 11:06 - 2012-03-19 09:24 - 0023319 ____A C:\Users\***\Desktop\Programmliste.ods
2012-03-15 05:19 - 2009-07-13 20:33 - 3805600 ____A C:\Windows\System32\FNTCACHE.DAT
2012-03-14 18:02 - 2010-11-09 16:58 - 54215544 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2012-03-14 08:41 - 2012-03-14 08:41 - 0033909 ____A C:\Users\***\Desktop\Handyvertrag.pdf
2012-03-14 08:41 - 2012-03-14 08:33 - 0012986 ____A C:\Users\***\Desktop\Handyvertrag.odt
2012-03-14 06:31 - 2010-09-27 10:40 - 0000000 ____D C:\Program Files\Mozilla Firefox
2012-03-13 08:38 - 2010-09-27 17:00 - 0000000 ____D C:\Users\***\AppData\Roaming\Adobe
2012-03-11 15:28 - 2012-02-24 09:36 - 0024619 ____A C:\Users\***\Desktop\Wohnung.odt
2012-03-11 13:14 - 2012-03-11 12:46 - 0014965 ____A C:\Users\***\Desktop\Praktikum.odt
2012-03-07 12:29 - 2010-09-27 17:00 - 0000000 ____D C:\Users\***\AppData\Local\Adobe
2012-03-07 12:29 - 2010-06-29 12:40 - 0000000 ____D C:\Users\All Users\Adobe
2012-03-07 12:29 - 2010-06-29 12:40 - 0000000 ____D C:\ProgramData\Adobe
2012-03-07 12:29 - 2010-06-29 12:40 - 0000000 ____D C:\Program Files\Common Files\Adobe
2012-03-07 12:29 - 2010-06-29 12:40 - 0000000 ____D C:\Program Files\Adobe
2012-03-06 11:46 - 2012-03-05 10:30 - 0000000 ____D C:\Users\***\Documents\Die Kunst des Mordens – Der Marionettenspieler DE
2012-03-05 10:24 - 2012-03-05 10:24 - 0000000 ____D C:\Program Files\City Interactive
2012-03-01 19:38 - 2010-09-26 18:14 - 0000000 ____D C:\Alles
2012-02-29 19:49 - 2012-02-29 19:49 - 0000004 ____H C:\Users\***\jmg
2012-02-29 19:25 - 2009-07-13 18:37 - 0000000 ___RD C:\users\Public
2012-02-29 11:22 - 2012-02-29 11:21 - 0000215 ____A C:\Users\***\Desktop\Ausreden.txt
2012-02-28 10:46 - 2010-09-30 18:37 - 0000000 ____D C:\Users\***\AppData\Local\ElevatedDiagnostics
2012-02-22 15:09 - 2010-09-25 15:04 - 0000000 ____D C:\Users\***\AppData\Roaming\ICQ
2012-02-16 21:34 - 2012-03-14 05:20 - 0826880 ____A (Microsoft Corporation) C:\Windows\System32\rdpcore.dll
2012-02-16 20:14 - 2012-03-14 05:20 - 0183808 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys
2012-02-16 20:13 - 2012-03-14 05:20 - 0024576 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tdtcp.sys
2012-02-16 09:22 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\Microsoft.NET
2012-02-15 13:57 - 2010-09-25 14:13 - 0000174 ___SH C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
2012-02-15 13:55 - 2010-06-29 13:01 - 0000000 ____D C:\Program Files\Microsoft Silverlight
2012-02-12 09:55 - 2012-02-12 09:53 - 0000000 ____D C:\Program Files\Dr. Watson - Katakomben
2012-02-12 07:56 - 2011-05-11 06:43 - 0000000 ____D C:\Program Files\Quadriga Games
2012-02-11 09:12 - 2011-01-05 12:57 - 0000000 ____D C:\Users\***\AppData\Roaming\Apple Computer
2012-02-10 17:41 - 2009-07-13 20:52 - 0000000 ____D C:\Windows\Downloaded Program Files
2012-02-09 21:38 - 2012-03-14 05:20 - 1077248 ____A (Microsoft Corporation) C:\Windows\System32\DWrite.dll
2012-02-02 19:54 - 2012-03-14 05:21 - 2343424 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-01-31 04:44 - 2010-09-27 16:56 - 0237072 ____N (Microsoft Corporation) C:\Windows\System32\MpSigStub.exe
2012-01-30 12:15 - 2009-07-13 18:37 - 0000000 ____D C:\Windows\System32\config\Journal
2012-01-30 10:01 - 2012-01-30 10:01 - 0000000 ____D C:\Windows\System32\Adobe
2012-01-24 21:32 - 2012-03-14 05:20 - 0129536 ____A (Microsoft Corporation) C:\Windows\System32\rdpcorekmts.dll
2012-01-24 21:32 - 2012-03-14 05:20 - 0058880 ____A (Microsoft Corporation) C:\Windows\System32\rdpwsx.dll
2012-01-24 21:27 - 2012-03-14 05:20 - 0008192 ____A (Microsoft Corporation) C:\Windows\System32\rdrmemptylst.exe
2012-01-12 20:02 - 2011-08-15 20:25 - 0000000 ____D C:\Users\***\Desktop\Tippspiele
2012-01-06 02:19 - 2012-01-06 02:19 - 0000000 ____D C:\Program Files\Common Files\Java
2012-01-06 02:18 - 2012-01-06 02:17 - 0005116 ____A C:\Windows\System32\jupdate-1.6.0_30-b12.log
2012-01-06 02:18 - 2010-09-26 18:26 - 0000000 ____D C:\Program Files\Java

========================= Known DLLs (Whitelisted) ============


========================= Bamital & volsnap Check ============

C:\Windows\explorer.exe => MD5 is legit

C:\Windows\System32\winlogon.exe => MD5 is legit

C:\Windows\System32\wininit.exe => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\System32\User32.dll => MD5 is legit

C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

========================= Memory info ====================== 

Percentage of memory in use: 15%
Total physical RAM: 3002.89 MB
Available physical RAM: 2529.49 MB
Total Pagefile: 3001.17 MB
Available Pagefile: 2530.11 MB
Total Virtual: 2047.88 MB
Available Virtual: 1958.3 MB

======================= Partitions =========================

1 Drive c: () (Fixed) (Total:252.81 GB) (Free:176.73 GB) NTFS
2 Drive d: (LENOVO) (Fixed) (Total:30.33 GB) (Free:26.29 GB) NTFS
4 Drive g: () (Removable) (Total:1.89 GB) (Free:1.87 GB) FAT
5 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
6 Drive y: () (Fixed) (Total:0.2 GB) (Free:0.16 GB) NTFS ==>[System with boot components (obtained from reading drive)]

  Datentr„ger ###  Status         Gr”áe    Frei     Dyn  GPT
  ---------------  -------------  -------  -------  ---  ---
  Datentr„ger 0    Online          298 GB  1024 KB         
  Datentr„ger 1    Online         1935 MB      0 B         

Datentr„gerpartitionierung wird beendet...


==========================================================

Last Boot: 2012-03-30 10:47

======================= End Of Log ==========================
         
__________________

Alt 03.04.2012, 18:38   #4
Psychotic
/// Malwareteam
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)



Schritt 1: Fix mit FRST

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
HKU\***\...\Winlogon: [Shell] C:\Users\***\AppData\Local\50bbacee\X [54784 2012-04-01] ()
C:\Users\***\AppData\Local\50bbacee
         
Achtung: Versetze die durch "*" veränderten Werte wieder in ihren Ursprungszustand zurück!

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Fix Button.
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.



Schritt 2: Defogger


Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
  • Starte das Tool mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
  • Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
  • Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.

Schritt 3: Gmer

Starte Windows normal!


Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 03.04.2012, 19:56   #5
blauer_alex
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)



Erstmal danke, Marius, dass du mir das so erklärst! Könntest du mir noch sagen, welches Antivirenprogramm deiner Meinung nach das beste ist (bzw. welches du nutzt), um seinen PC zu schützen?

Files im Anhang.


Alt 03.04.2012, 19:59   #6
Psychotic
/// Malwareteam
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)



Dazu später mehr!




Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
--> kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)

Alt 03.04.2012, 20:22   #7
blauer_alex
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)



Während Combofix läuft, sagt er mir, dass der Papierkorb auf C:\ beschädigt ist und fragt, ob ich ihn leeren möchte. Scheinbar befindet sich darin ein Ordner, der sich nicht löschen lässt. Überspringen kann man den Schritt auch irgendwie nicht, da die Meldung nach ein paar Sekunden stets wiederkommt.

Alt 03.04.2012, 21:04   #8
Psychotic
/// Malwareteam
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)



Zitat:
Zitat von blauer_alex Beitrag anzeigen
Während Combofix läuft, sagt er mir, dass der Papierkorb auf C:\ beschädigt ist und fragt, ob ich ihn leeren möchte. Scheinbar befindet sich darin ein Ordner, der sich nicht löschen lässt. Überspringen kann man den Schritt auch irgendwie nicht, da die Meldung nach ein paar Sekunden stets wiederkommt.
Versuche, die Meldung mit Ja zu bestätigen. Ansonsten, starte den Rechner im abgesicherten Modus mit Netzwerktreibern und versuche CF erneut.

Berichte!
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 04.04.2012, 13:28   #9
blauer_alex
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)



Das Problem mit dem Papierkorb kommt nicht mehr (egal ob abgesichert oder nicht), aber Combofix läuft einfach nicht. Weiter als "Dies dauert normalerweise nicht länger als 10 Minuten." hat es die ganze Nacht nicht geschafft. Auch nach mehrmaligen Versuchen nicht.

edit: Problem wird die Fehlermeldung von iSaverCrtl.exe sein: "Diese Anwendung hat einen schweren Fehler gefunden und muss neu gestartet werden". Die kommt alle 10 Minuten. Unter 'Details' steht, dass irgendeine Datei nicht erstellt werden kann...

Alt 04.04.2012, 13:53   #10
Psychotic
/// Malwareteam
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)



Warte auf weitere Anweisungen
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 04.04.2012, 15:59   #11
blauer_alex
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)



Hab ich ja, der lief bestimmt 12 Stunden und ist nicht weiter gekommen als zu den Worten...

Alt 06.04.2012, 04:18   #12
blauer_alex
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)



So, nach bestimmt einem Dutzend Versuchen hat es endlich geklappt. ;-)


Code:
ATTFilter
ComboFix 12-04-05.06 - *** 06.04.2012   4:50.3.2 - x86
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3003.1966 [GMT 2:00]
ausgeführt von:: c:\users\***\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
FW: ZoneAlarm Firewall *Enabled* {D17DF357-CFF5-F001-D1C1-FCD21DFE3D5E}
SP: Microsoft Security Essentials *Disabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\***\AppData\Roaming\AcroIEHelpe.txt
c:\users\***\AppData\Roaming\srvblck2.tmp
c:\windows\$NtUninstallKB938$
c:\windows\$NtUninstallKB938$\1354476782\@
c:\windows\$NtUninstallKB938$\1354476782\L\xadqgnnk
c:\windows\$NtUninstallKB938$\1354476782\loader.tlb
c:\windows\$NtUninstallKB938$\1354476782\U\@00000001
c:\windows\$NtUninstallKB938$\1354476782\U\@000000c0
c:\windows\$NtUninstallKB938$\1354476782\U\@000000cb
c:\windows\$NtUninstallKB938$\1354476782\U\@000000cf
c:\windows\$NtUninstallKB938$\1354476782\U\@80000000
c:\windows\$NtUninstallKB938$\1354476782\U\@800000c0
c:\windows\$NtUninstallKB938$\1354476782\U\@800000cb
c:\windows\$NtUninstallKB938$\1354476782\U\@800000cf
c:\windows\$NtUninstallKB938$\3721928978
c:\windows\system32\dds_log_ad13.cmd
c:\windows\system32\tmpAC5B.tmp
c:\windows\system32\tmpAC5C.tmp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-03-06 bis 2012-04-06  ))))))))))))))))))))))))))))))
.
.
2012-04-06 03:05 . 2012-04-06 03:05	6429	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UICORE.JS
2012-04-06 03:05 . 2012-04-06 03:05	63115	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\USERTILE.JS
2012-04-06 03:05 . 2012-04-06 03:05	4599	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UIRESOURCE.JS
2012-04-06 03:03 . 2012-04-06 03:03	--------	d-----w-	c:\users\test\AppData\Local\temp
2012-04-06 03:03 . 2012-04-06 03:03	--------	d-----w-	c:\users\Public\AppData\Local\temp
2012-04-06 03:03 . 2012-04-06 03:03	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-04-06 03:03 . 2012-04-06 03:03	--------	d-----w-	c:\users\***\AppData\Local\temp
2012-04-06 03:03 . 2012-04-06 03:03	--------	d-----w-	c:\users\Administrator\AppData\Local\temp
2012-04-06 02:48 . 2012-04-06 03:04	56200	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B229EC3B-DDC6-4B44-B489-2B67029C0CDF}\offreg.dll
2012-04-03 19:06 . 2012-03-14 02:15	6582328	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B229EC3B-DDC6-4B44-B489-2B67029C0CDF}\mpengine.dll
2012-04-03 09:21 . 2012-04-03 09:22	--------	d-----w-	C:\FRST
2012-04-02 16:43 . 2012-04-02 16:43	--------	d-----w-	C:\TDSS
2012-04-02 11:32 . 2012-04-02 15:23	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-04-02 00:54 . 2012-04-02 12:13	418464	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-03-27 23:00 . 2012-03-27 23:00	--------	d-----w-	c:\program files\iPod
2012-03-27 23:00 . 2012-03-27 23:01	--------	d-----w-	c:\program files\iTunes
2012-03-27 22:57 . 2012-03-27 22:57	--------	d-----w-	c:\program files\Bonjour
2012-03-27 22:52 . 2012-03-27 22:52	--------	d-----w-	c:\program files\Apple Software Update
2012-03-26 01:20 . 2012-03-26 01:20	--------	d-----w-	c:\program files\iSaver
2012-03-26 01:18 . 2012-03-26 01:24	--------	d-----w-	c:\users\***\AppData\Local\ScreeNet iSaver
2012-03-15 02:01 . 2011-11-19 14:50	3968368	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-03-15 02:01 . 2011-11-19 14:50	3913584	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-14 14:31 . 2012-03-14 14:31	592824	----a-w-	c:\program files\Mozilla Firefox\gkmedias.dll
2012-03-14 14:31 . 2012-03-14 14:31	44472	----a-w-	c:\program files\Mozilla Firefox\mozglue.dll
2012-03-14 13:21 . 2012-02-03 03:54	2343424	----a-w-	c:\windows\system32\win32k.sys
2012-03-14 13:20 . 2012-02-10 05:38	1077248	----a-w-	c:\windows\system32\DWrite.dll
2012-03-14 13:20 . 2012-01-25 05:32	129536	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-03-14 13:20 . 2012-01-25 05:27	8192	----a-w-	c:\windows\system32\rdrmemptylst.exe
2012-03-14 13:20 . 2012-01-25 05:32	58880	----a-w-	c:\windows\system32\rdpwsx.dll
2012-03-14 13:20 . 2012-02-17 05:34	826880	----a-w-	c:\windows\system32\rdpcore.dll
2012-03-14 13:20 . 2012-02-17 04:13	24576	----a-w-	c:\windows\system32\drivers\tdtcp.sys
2012-03-14 13:20 . 2012-02-17 04:14	183808	----a-w-	c:\windows\system32\drivers\rdpwd.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-02 12:13 . 2011-07-25 16:50	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-14 02:15 . 2010-09-29 15:37	6582328	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-02-10 21:16 . 2012-02-10 21:17	713784	------w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{20E98B08-3C53-45DA-BB07-63D1C8799E0A}\gapaengine.dll
2012-01-31 12:44 . 2010-09-28 00:56	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-03-14 14:31 . 2011-05-12 18:11	97208	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]
@="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"
[HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]
2009-09-11 20:47	5066504	----a-w-	c:\program files\Lenovo\LenovoSecuritySolution FP\farchns.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]
@="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"
[HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]
2009-09-11 20:47	5066504	----a-w-	c:\program files\Lenovo\LenovoSecuritySolution FP\farchns.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2010-09-24 1786168]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-10-02 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-10-02 174104]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-10-02 151064]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-09-11 7739936]
"IndicatorListener"="c:\program files\Motorola\Bluetooth\mkil.dll" [2009-08-12 107784]
"BTMTrayAgent"="c:\program files\Motorola\Bluetooth\btmshell.dll" [2009-07-22 17753352]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-09-03 1557800]
"PSQLLauncher"="c:\program files\Lenovo\LenovoSecuritySolution FP\launcher.exe" [2009-09-11 55048]
"UpdateP2GShortCut"="c:\program files\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]
"EnergyUtility"="c:\program files\Lenovo\Energy Management\utility.exe" [2009-09-29 4114288]
"Energy Management"="c:\program files\Lenovo\Energy Management\Energy Management.exe" [2009-09-29 5064560]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-07-12 74752]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2011-02-18 1043968]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"iSaverCtrl"="c:\program files\iSaver\iSaverCtrl.exe" [2009-06-08 1160192]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-03-06 421736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"WLStart"="c:\program files\Windows Live\Installer\wlstart.exe" [2009-07-26 786760]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2009-09-11 20:20	100616	----a-w-	c:\program files\Lenovo\LenovoSecuritySolution FP\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli c:\program files\Lenovo\LenovoSecuritySolution FP\psqlpwd.dll
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^PHOTOfunSTUDIO 5.0.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\PHOTOfunSTUDIO 5.0.lnk
backup=c:\windows\pss\PHOTOfunSTUDIO 5.0.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^***^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]
path=c:\users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStartNPSAgent]
2010-12-13 19:51	102400	----a-w-	c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2009-03-24 02:00	1983816	----a-w-	c:\program files\Canon\MyPrinter\BJMYPRT.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
2009-03-18 01:40	767312	----a-w-	c:\program files\Canon\SolutionMenu\CNSLMAIN.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-09-01 06:39	1164584	----a-w-	c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2012-03-06 17:05	421736	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
2012-03-26 14:34	3905920	----a-w-	c:\program files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-11-22 136176]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-02 253600]
R3 Bluetooth Media Service;Bluetooth Media Service;c:\program files\Motorola\Bluetooth\audiosrv.exe [2009-07-22 709384]
R3 Bridge0;Bridge0;c:\windows\system32\drivers\WDBridge.sys [2009-07-28 63240]
R3 BTMCOM;Bluetooth Serial Port;c:\windows\system32\Drivers\btmcom.sys [2009-07-09 40448]
R3 BTMUSB;Motorola Bluetooth Radio Service;c:\windows\system32\Drivers\btmusb.sys [2009-07-13 516608]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [2009-12-07 201168]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-11-22 136176]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [2009-10-12 101120]
R3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [2009-07-13 229888]
R3 Lenovo ReadyComm AppSvc;Lenovo ReadyComm AppSvc;c:\program files\Lenovo\ReadyComm\AppSvc.exe [2009-07-28 414984]
R3 Lenovo ReadyComm ConnSvc;Lenovo ReadyComm ConnSvc;c:\program files\Lenovo\ReadyComm\ConnSvc.exe [2009-07-28 472328]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [2011-04-18 43392]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2011-04-27 65024]
R3 NisSrv;Microsoft-Netzwerkinspektion;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 208944]
R3 PS_MDP;ReadyComm Presentation Space Helper Service;c:\windows\System32\IgrsSvcs.exe [2009-07-14 20992]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [x]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 wsvd;wsvd;c:\windows\system32\DRIVERS\wsvd.sys [2009-07-21 81704]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-09-26 691696]
S0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\System32\drivers\sfdrv01a.sys [2009-02-03 63096]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2011-06-20 218688]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2011-07-22 12880]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2011-07-12 67664]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 !SASCORE;SAS Core Service;c:\program files\SUPERAntiSpyware\SASCORE.EXE [2011-08-29 116608]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2010-02-24 185472]
S2 Bluetooth OBEX Service;Bluetooth OBEX Service;c:\program files\Motorola\Bluetooth\obexsrv.exe [2009-07-22 474888]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-07-15 233472]
S2 IGRS;IGRS;c:\program files\Lenovo\ReadyComm\common\IGRS.exe [2009-07-14 38152]
S2 ReadyComm.DirectRouter;ReadyComm.DirectRouter;c:\windows\System32\IgrsSvcs.exe [2009-07-14 20992]
S2 UpekSrvc;Upek Service;c:\program files\Lenovo\LenovoSecuritySolution FP\upeksrvc.exe [2009-09-11 44808]
S3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\DRIVERS\AcpiVpc.sys [2009-05-19 21520]
S3 Bluetooth Device Manager;Bluetooth Device Manager;c:\program files\Motorola\Bluetooth\devmgrsrv.exe [2009-07-22 3473672]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-07-15 36608]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-10-02 122368]
S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x86.sys [2009-07-27 51712]
S3 wdmirror;wdmirror;c:\windows\system32\DRIVERS\WDMirror.sys [2009-07-16 11792]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - FSUSBEXDISK
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc SensrSvc Mcx2Svc
IgrsSvcs	REG_MULTI_SZ   	ReadyComm.DirectRouter PS_MDP
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-05 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-02 12:13]
.
2012-04-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-22 03:42]
.
2012-04-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-22 03:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to MP3 Converter - c:\users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{7644E42D-B096-457F-8B5B-901238FC81AE} - c:\program files\ICQ7.6\ICQ.exe
TCP: DhcpNameServer = 192.168.0.1
TCP: Interfaces\{6BF9D236-A1D2-426D-9AB6-7E95DCBAC6B4}: NameServer = 193.189.244.225 193.189.244.206
TCP: Interfaces\{7010AAE3-7CBB-46A4-8500-130D143CA629}: NameServer = 193.189.244.225 193.189.244.206
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\ohh0ccb1.default\
FF - prefs.js: browser.startup.homepage - hxxps://www.facebook.com/?ref=hp
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=de&q=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-39237954.sys
SafeBoot-39458889.sys
SafeBoot-50240803.sys
AddRemove-UltraStar Deluxe CMD Edition - g:\ultrastar\UltraStar Deluxe CMD Edition\Uninstall.exe
AddRemove-{5A67EE53-2CE7-40CD-BA31-70F0C801A189} - c:\program files\InstallShield Installation Information\{5A67EE53-2CE7-40CD-BA31-70F0C801A189}\Setup.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3336212685-1508650090-3164056612-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*_*s*e*a*n*_*k*i*n*g*s*t*o*n*_*-*_*r*e*a*d*y*_*o*r*_*n*o*t*_*(*d*e*-**+Z5\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(564)
c:\program files\Lenovo\LenovoSecuritySolution FP\psqlpwd.dll
c:\program files\Lenovo\LenovoSecuritySolution FP\homefus2.dll
c:\program files\Lenovo\LenovoSecuritySolution FP\infql2.dll
.
- - - - - - - > 'Explorer.exe'(3608)
c:\program files\Lenovo\LenovoSecuritySolution FP\farchns.dll
c:\program files\Lenovo\LenovoSecuritySolution FP\infql2.dll
c:\program files\Lenovo\LenovoSecuritySolution FP\qlbase.dll
c:\program files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Microsoft Security Client\Antimalware\MsMpEng.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\WLANExt.exe
c:\windows\system32\conhost.exe
c:\program files\Lenovo\LenovoSecuritySolution FP\upeksvr.exe
c:\windows\system32\taskhost.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\conhost.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-04-06  05:11:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-04-06 03:11
.
Vor Suchlauf: 15 Verzeichnis(se), 189.922.205.696 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 189.861.580.800 Bytes frei
.
- - End Of File - - DDB31C0873BFB84D73DFC97308F31FBD
         

Alt 06.04.2012, 15:36   #13
Psychotic
/// Malwareteam
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)



MBAM

Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen.(Hinweis: Alle Festplatten anhaken!
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 06.04.2012, 19:32   #14
blauer_alex
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)



Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.06.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
*** :: ***-PC [Administrator]

06.04.2012 17:10:26
mbam-log-2012-04-06 (17-10-26).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 419369
Laufzeit: 3 Stunde(n), 1 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\14da1023-4a9e9063 (Spyware.Zeus) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\FRST\Quarantine\50bbacee\X (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Das Problem mit dem Papierkorb taucht ab und zu noch auf, das Problem mit der iSaverCtrl.exe kommt allerdings doch noch relativ häufig. Und neuerdings bekomme ich nach dem Hochfahren eine Meldung über die Settings.ini-Datei, mit der ich irgendwas nicht machen kann, da sie noch geöffnet ist / benutzt wird.
Und Firefox kann ich beispielsweise gar nicht mehr öffnen momentan... IE läuft dagegen wieder normal, WLAN ist also wohl wieder da. Würde auch gerne nen Screen der einen Fehlermeldung hochladen, allerdings verbietet mit das System grundsätzlich, das Bild zu speichern, egal an welchem Ort, welcher Festplatte, Stick oder sonstwo.

Alt 07.04.2012, 15:29   #15
Psychotic
/// Malwareteam
 
kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Standard

kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)



Neues DDS-Log


Starte bitte DDS
  • Wenn der Scan fertig ist, wird DDS 2 Logfiles erstellen. :
    1. DDS.txt
    2. Attach.txt
  • Speichere beide auf deinem Desktop und poste diese bitte hier
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Antwort

Themen zu kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)
anderen, anhang, aufgegeben, befall, diverse, entfernt, gelöst, internet, kabel, kein internet, kein internetzugang, komplett, laptop, logfile, logfiles, lösung, meldungen, nichts, problem, programme, router, schädlinge, seite, seiten, sirefef, tan, trojaner, verbindung, virus, wlan, wlan., zugang



Ähnliche Themen: kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)


  1. kein Internetzugang mehr nach Virenscan
    Log-Analyse und Auswertung - 05.05.2015 (5)
  2. Kein Internetzugang
    Netzwerk und Hardware - 16.12.2014 (1)
  3. Provider sperrt Internetzugang nach Spamversand (Befall unter Win7 Home Prem x64?)
    Plagegeister aller Art und deren Bekämpfung - 04.07.2014 (15)
  4. Infizierter Rechner lässt nach Virenscan kein Internetzugang zu
    Plagegeister aller Art und deren Bekämpfung - 06.06.2014 (56)
  5. Nach Virenscan mit Malwarebytes kein Internetzugang möglich
    Alles rund um Windows - 04.04.2014 (5)
  6. Nach Deinstallation der Firewall kein Internetzugang mehr!
    Antiviren-, Firewall- und andere Schutzprogramme - 03.09.2013 (21)
  7. Win64/Sirefef.M eingefangen vermutlich System bereits befallen
    Log-Analyse und Auswertung - 04.09.2012 (3)
  8. GVU Trojaner Befall, Windows 7. Vermutlich nach Installation von infizierter Software
    Plagegeister aller Art und deren Bekämpfung - 22.08.2012 (23)
  9. System noch sicher nach Befall durch sirefef?
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (2)
  10. Virus/Trojaner: Win64/sirefef.A ; Win64/sirefef.AB ; Win64/sirefef.W ; Auto-Neustart nach 1 Minute
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (18)
  11. Virenfund Trojan.Generic.7552386 und Trojan.Sirefef.FY nach GVU-Befall
    Log-Analyse und Auswertung - 03.08.2012 (15)
  12. Kein Internetzugang nach runterladen von Avast
    Plagegeister aller Art und deren Bekämpfung - 11.10.2011 (7)
  13. Nach Windows Recovery Befall kein Zugriff mehr auf Dateisystem/Desktop
    Plagegeister aller Art und deren Bekämpfung - 12.04.2011 (29)
  14. Nach Installation von Avira Antivirus kein Internetzugang mehr !
    Plagegeister aller Art und deren Bekämpfung - 18.04.2009 (4)
  15. Nach Anti-Vir-Update kein Internetzugang mehr & Rechner fährt nicht runter
    Antiviren-, Firewall- und andere Schutzprogramme - 03.02.2006 (6)
  16. Kein Internetzugang mehr nach Entfernung von MSLAUGH - was nun ?
    Plagegeister aller Art und deren Bekämpfung - 24.03.2005 (1)
  17. Kein Internetzugang!!!
    Plagegeister aller Art und deren Bekämpfung - 09.02.2005 (10)

Zum Thema kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) - Hallo miteinander. Gestern Abend hatte ich das Problem, dass mein Internet vom einen auf den anderen Moment den Geist aufgegeben hat. Da wir einen älteren Router haben und dies öfter - kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)...
Archiv
Du betrachtest: kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.