Hallo zusammen,
ich habe mich gerade im Forum angemeldet und bin in dieser Hinsicht auch sehr unerfahren.
Falls ich noch Fehler machen sollte, bitte ich dies vorab zu entschuldigen, bin aber für konstruktive Kritik offen.

Mein Problem:
Antivir meldete folgenden Fund im Bericht:BDS/ZeroAccess.Gen

Kurz danach erhielt ich sehr viele Windows - Read error Fehlermeldungen, als auch eine eine System Repair Aufforderung ( habe ich nicht durchgeführt)

Weiterhin zeigt mir das System eine svchost-exe-Corrupt disk Fehlermeldung an

Ich habe bisher Malware-Bytes geladen und installiert, konnte jedoch kein Update durchführen, geschweige denn das Programm starten, da keine Programme mehr sichtbar sind.

Das Programm ist zwar unter Software installiert, jedoch kann ich nicht darauf zugreifen.

Wifi habe ich ausgeschaltet und ich benutze das Laptop im Moment nicht, da es auch in meinem Büro am Netzwerk angeschlossen ist.

Online bin ich mit einem 2.Laptop, kann also alle zu installierenden Programme per USB-Stick aufspielen.

LOG-Dateien kann ich daher nicht posten, da ich nicht auf die Programme zugreifen kann.

Da in den Regeln immer erwähnt wird, nicht die Schritte anderer zu übernehmen, hoffe ich auf Hilfe eurerseits und bedanke mich vorab schon einmal dafür.

Hallo moogsound und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.

Hinweise zum Ablauf

• Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
  • Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
  • Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
  • Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
  • Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.

• Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
  • .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
  • .. installiere oder deinstalliere während der Bereinigung keine Software.
  • .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).

• Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
  • Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
  • Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.

Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.

Schauen wir mal:


Schritt 1

Downloade dir bitte rKill (by Grinler) von einem dieser Downloadspiegel:

• rKill.com
• rKill.scr

Dies sind umbenannte Kopien:

• eXplorer.exe
• uSeRiNiT.exe
• WiNlOgOn.exe

Speichere die Datei auf den Desktop.

• Starte dann das Programm.
• Nun sollte ein schwarzes Fenster aufgehen und dir anzeigen, dass es läuft.
  Wenn das nicht der Fall ist, lösche die vorhandene Version und benutze einen anderen Downloadlink.
• Lass das Tool in Ruhe laufen.
• Am Ende des Suchlaufs erscheint eine Meldung. Bestätige diese mit Ok.
• RKill öffnet automatisch die Logdatei. Poste diese bitte mit deiner nächsten Antwort.
• Du findest die Logdatei (Rkill.txt) auch auf deinem Desktop.

Sollte es bei keinem der aufgeführten Downloadlinks laufen, teile mir das bitte mit.



Schritt 2

Downloade bitte Grinler's unhide.exe auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Wenn es fertig ist, wird eine Nachricht mit "Done" erscheinen.
• Es wird auch ein Logfile Unhide.txt erstellt. Poste dieses bitte hier.

Schritt 3

• Öffne das Programm Malwarebytes Anti-Malware.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke auf Aktualisierung --> Suche nach Aktualisierung.
• Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
• Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Bitte poste in deiner nächsten Antwort:

• Log von rKill
• Log von unhide
• Log von MBAM

Hallo Leo,
danke für die schnelle Antwort.
Kann ich nach den installierten Programmen bereits wieder online gehen?
Im Moment kann ich auf keinen der Explorer zugreifen.
Sonst kann ich die Logfiles auch auf den Stick kopieren und senden.
Gruß
Peter

Hallo Peter,
du kannst online gehen mit dem Rechner, ja.
Du kannst sonst die Programme für Schritt 1 und 2 auch auf deinem Zweitrechner herunterladen und per USB-Stick auf den Desktop des infizierten Computers bringen.
(Nach Schritt 2 solltest du wieder alle Dateien und Programme sehen können.)

Ok, da hasse:

Log Rkill:
Rkill 2.4.7 by Lawrence Abrams (Grinler)
Bleeping Computer - Technical Support and Computer Help
Copyright 2008-2013 BleepingComputer.com
More Information about Rkill can be found at this link:
RKill - What it does and What it Doesn't - A brief introduction to the program - BleepingComputer.com

Program started at: 02/28/2013 09:54:43 PM in x64 mode.
Windows Version: Windows 7 Professional Service Pack 1

Checking for Windows services to stop:

* No malware services found to stop.

Checking for processes to terminate:

* c:\Windows\SysWOW64\srvany.exe (PID: 2752) [WD-HEUR]
* C:\ProgramData\ltCNsxmSemgqBwD.exe (PID: 4804) [AU-HEUR]

2 proccesses terminated!

Checking Registry for malware related settings:

* System Policy Removed: DisableTaskMgr [HKCU]
* Explorer Policy Removed: NoActiveDesktopChanges [HKLM]

Backup Registry file created at:
C:\Users\pstendel\Desktop\rkill\rkill-02-28-2013-09-54-46.reg

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

* SMTMP folder detected. Please see this link for more information: Unhide.exe - A introduction as to what this program does - BleepingComputer.com

* ALERT: ZEROACCESS rootkit symptoms found!

* HKEY_CLASSES_ROOT\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 [ZA Reg Hijack]
* HKEY_CLASSES_ROOT\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32 [ZA Reg Hijack]
* C:\$Recycle.Bin\S-1-5-18\$94241a64548ffee6d0005b61b363e1c7\ [ZA Dir]
* C:\$Recycle.Bin\S-1-5-21-901657276-1553592934-1975412381-1003\$94241a64548ffee6d0005b61b363e1c7\ [ZA Dir]

Checking Windows Service Integrity:

* Windows-Firewallautorisierungstreiber (mpsdrv) is not Running.
Startup Type set to: Manual

* BFE [Missing Service]
* iphlpsvc [Missing Service]
* MpsSvc [Missing Service]
* WinDefend [Missing Service]
* wscsvc [Missing Service]

* SharedAccess [Missing ImagePath]

* FontCache => %SystemRoot%\system32\svchost.exe -k LocalService [Incorrect ImagePath]

Searching for Missing Digital Signatures:

* No issues found.

Checking HOSTS File:

* Cannot edit the HOSTS file.
* Permissions could not be fixed. Use Hosts-perm.bat to fix permissions: Hosts-perm.bat Download

Program finished at: 02/28/2013 09:54:52 PM
Execution time: 0 hours(s), 0 minute(s), and 8 seconds(s)


Log unhide:
Unhide by Lawrence Abrams (Grinler)
Bleeping Computer - Technical Support and Computer Help
Copyright 2008-2013 BleepingComputer.com
More Information about Unhide.exe can be found at this link:
Unhide.exe - A introduction as to what this program does - BleepingComputer.com

Program started at: 02/28/2013 09:58:33 PM
Windows Version: Windows 7

Please be patient while your files are made visible again.

Processing the C:\ drive
Finished processing the C:\ drive. 200789 files processed.

Processing the E:\ drive
Finished processing the E:\ drive. 9 files processed.

Restoring the Start Menu.
* 185 Shortcuts and Desktop items were restored.


Searching for Windows Registry changes made by FakeHDD rogues.
- Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
- Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
* HidNoChangingWallPaperden policy was found and deleted!
- Checking HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
* Start_ShowControlPanel was set to 0! It was set back to 1!
* Start_ShowHelp was set to 0! It was set back to 1!
* Start_ShowMyComputer was set to 0! It was set back to 1!
* Start_ShowMyDocs was set to 0! It was set back to 1!
* Start_ShowMyMusic was set to 0! It was set back to 1!
* Start_ShowMyPics was set to 0! It was set back to 1!
* Start_ShowPrinters was set to 0! It was set back to 1!
* Start_ShowRun was set to 0! It was set back to 1!
* Start_ShowSearch was set to 0! It was set back to 1!
* Start_ShowSetProgramAccessAndDefaults was set to 0! It was set back to 1!
* Start_ShowRecentDocs was set to 0! It was set back to 2!
* Start_ShowNetConn was set to 0! It was set back to 1!
* Start_ShowNetPlaces was set to 0! It was set back to 1!
* Start_TrackDocs was set to 0! It was set back to 1!
* Start_TrackProgs was set to 0! It was set back to 1!
* Start_ShowUser was set to 0! It was set back to 1!
* Start_ShowMyGames was set to 0! It was set back to 1!

Program finished at: 02/28/2013 09:59:06 PM
Execution time: 0 hours(s), 0 minute(s), and 32 seconds(s)

Log mbam:
Malwarebytes Anti-Malware (Test) 1.70.0.1100
Malwarebytes : Free Anti-Malware download

Datenbank Version: v2013.02.28.12

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
PStendel :: STENDEL-LAPTOP [Administrator]

Schutz: Deaktiviert

28.02.2013 22:03:00
mbam-log-2013-02-28 (22-03-00).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 279737
Laufzeit: 1 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ltCNsxmSemgqBwD.exe (Trojan.FakeAV) -> Daten: C:\ProgramData\ltCNsxmSemgqBwD.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 7
HKCU\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\ProgramData\ltCNsxmSemgqBwD.exe (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Gruß
Peter

Siehst du jetzt wieder alle deine Dateien, Verknüpfungen und das Startmenü vollständig?
Das war erst der Anfang, da sitzt noch etwas Unschönes drin bei dir:


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button.
• Bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
• Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Gmer
• Logs von OTL

sorry, hat etwas gedauert.

Anbei die Logfiles im Anhang.

Gruß

Peter

Hallo Peter,

dich hat es wirklich übel erwischt. Dass das ZeroAccess-Rootkit drauf ist, hat man vorhin schon gesehen. Und jetzt meldet GMER auch noch eine kleine versteckte Partition, von welcher gebootet wird, und einen verdächtigen MBR. Das dürfte sowas wie TDSS sein.
Wir müssen da mal noch genauer hinschauen. Versuch mal, ob diese beiden Tools laufen:
(Die Logfiles bitte nicht anhängen, sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].)


Schritt 1

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinen Desktop.

• Starte die aswMBR.exe.
  Vista und Win7 User mit Rechtsklick "als Admininstartor ausführen".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von avast! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff aufs Internet zulassen.)
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte, bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere die Datei auf dem Desktop.

Poste mir diese aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung.

Hinweis: Sollte der Scan Button ausgeblendet sein, schliesse das Tool und starte es erneut. Sollte es erneut nicht klappen, teile mir das bitte mit.



Schritt 2

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts löschen, sondern nur einen Scan-Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop.

• Starte die TDSSKiller.exe.
• Drücke Start Scan.
• Warnung: Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
• TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
• Poste bitte den Inhalt dieses Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von aswMBR
• Log von TDSSKiller

Kann die aswMBR.exe.
als Admin nicht starten.

Das ist nicht ganz unerwartet.
TDSSKiller funktioniert auch nicht oder doch?

Werde ich jetzt mal probieren.

Ok, sonst gib Bescheid, dann nehmen wir eine Alternative.

Nein, funktioniert auch nicht

Das ist doch ein widerwärtiges Mistding.
Neuer Versuch:


Schritt 1

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinen Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Wenn eine Warnung "Registry value AppInit_Dlls has been found, .." erscheint, drücke Nein.
• Folge dann den Anweisungen, führe das Update aus und drücke dann Scan.

Falls Funde angezeigt werden:

• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während des Neustarts wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut und wiederhole den Scan.
• Sollte nochmals was gefunden werden, führe erneut den CleanUp-Prozess durch.

Das Tool wird im erstellten Ordner Logfiles (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste deren Inhalt hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers.



Bitte poste in deiner nächsten Antwort:

• Log von MBAR

Ok, musste 2 x scannen.
Ich poste beide Files:

Malwarebytes Anti-Rootkit BETA 1.01.0.1020
www.malwarebytes.org

Database version: v2013.02.28.13

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
PStendel :: STENDEL-LAPTOP [administrator]

01.03.2013 00:53:12
mbar-log-2013-03-01 (00-53-12).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 30675
Time elapsed: 5 minute(s), 26 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 3
HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\INPROCSERVER32| (Trojan.0Access) -> Bad: (C:\$Recycle.Bin\S-1-5-21-901657276-1553592934-1975412381-1003\$94241a64548ffee6d0005b61b363e1c7\n.) Good: (shell32.dll) -> Delete on reboot.
HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32| (Trojan.0Access) -> Bad: (C:\$Recycle.Bin\S-1-5-18\$94241a64548ffee6d0005b61b363e1c7\n.) Good: (fastprox.dll) -> Delete on reboot.
HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32| (Hijack.Trojan.Siredef.C) -> Bad: (C:\$Recycle.Bin\S-1-5-18\$94241a64548ffee6d0005b61b363e1c7\n.) Good: (%systemroot%\system32\wbem\fastprox.dll) -> Delete on reboot.

Folders Detected: 6
c:\$Recycle.Bin\S-1-5-18\$94241a64548ffee6d0005b61b363e1c7\U (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-901657276-1553592934-1975412381-1003\$94241a64548ffee6d0005b61b363e1c7\U (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$94241a64548ffee6d0005b61b363e1c7\L (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-901657276-1553592934-1975412381-1003\$94241a64548ffee6d0005b61b363e1c7\L (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$94241a64548ffee6d0005b61b363e1c7 (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-901657276-1553592934-1975412381-1003\$94241a64548ffee6d0005b61b363e1c7 (Trojan.Siredef.C) -> Delete on reboot.

Files Detected: 10
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Bootstrap_0_3_500088832_infected.mbam (Rootkit.Alureon.F.VBR) -> Delete on reboot.
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\MBR_0_infected.mbam (Rootkit.Alureon.F.VBR) -> Delete on reboot.
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Sector_0_500099728_user.mbam (Forged physical sector) -> Delete on reboot.
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Sector_0_500109311_user.mbam (Forged physical sector) -> Delete on reboot.
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Sector_0_500113376_user.mbam (Forged physical sector) -> Delete on reboot.
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Sector_0_500113407_user.mbam (Forged physical sector) -> Delete on reboot.
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Sector_0_500114074_user.mbam (Forged physical sector) -> Delete on reboot.
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Sector_0_500118191_user.mbam (Forged physical sector) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$94241a64548ffee6d0005b61b363e1c7\@ (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-901657276-1553592934-1975412381-1003\$94241a64548ffee6d0005b61b363e1c7\@ (Trojan.Siredef.C) -> Delete on reboot.

(end)


Malwarebytes Anti-Rootkit BETA 1.01.0.1020
www.malwarebytes.org

Database version: v2013.02.28.13

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
PStendel :: STENDEL-LAPTOP [administrator]

01.03.2013 01:04:35
mbar-log-2013-03-01 (01-04-35).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 30651
Time elapsed: 6 minute(s), 16 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Hey Leo,
bist Du noch wach?
Ansonsten können wir gerne morgen nochmal posten.
ist ja schon spät.