Hallo,
ich habe auch wie viele hier das Problem mit dem Trojaner.
Auf meinem XP-Rechner poppt das Fenster mit der Deutschlandflagge und der Fehlermeldung auf. Angeblich soll ich 50€ zahlen....

Ich habe hier schon das Forum durchforstet und bisher folgendes gemacht:

Rechner im abgesicherten Modus gestartet und als Administrator angemeldet.
Da Malwarebytes durchlaufen gelassen. Ergebnis hab ich beigefügt.

Dann hab ich noch ESET heruntergeladen und durchlaufen lassen (infizierte Dateien aber nicht gelöscht).

Im Anschluss hab ich mich im abgesicherten Modus auf meinem Konto (als Benutzer "Julia") eingeloggt, da dort die Infizierung erfolgte. Der Durchlauf von OTL hat die beigefügte Text-Datei als Ergebnis (das ist das Ergebnis vom 3. Durchlauf, da ich vorher die Text-Datei nicht gespeichert hab).

Achso: der normale Modus funktioniert wieder.

Wie kann ich jetzt den Rechner komplett sauber bekommen? Ich mach auch Online Banking,... damit.
Danke für die Hilfe, es hat ja scheinbar einige erwischt...
Julia


MALWAREBYTES

[code]
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Database version: v2012.03.29.02

Windows XP Service Pack 3 x86 NTFS (Safe Mode/Networking)
Internet Explorer 8.0.6001.18702
Administrator :: JULIA-5D8F0C54D [administrator]

29.03.2012 08:01:13
mbam-log-2012-03-29 (08-52-01).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 237347
Time elapsed: 29 minute(s), 23 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 11
C:\WINDOWS\system32\merakpop3.dll (RootKit.0Access.H) -> No action taken.
C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Temp\0.2394490873208116.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Temp\0.4092742851416209.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Temp\0.8302039925541411.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Temp\0.9206445904874775.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lsdiorw.dll (RootKit.0Access.H) -> No action taken.
C:\WINDOWS\system32\modem.dll (RootKit.0Access.H) -> No action taken.
C:\WINDOWS\system32\naveng.dll (RootKit.0Access.H) -> No action taken.
C:\WINDOWS\Temp\124kkk29347.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\224kkk29347.exe (Trojan.Agent) -> No action taken.

(end)
[code]



ESET

[code]
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=67ffdb5de1f98446a1217a0cd0e41955
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-29 08:39:01
# local_time=2012-03-29 10:39:01 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775126 100 93 315421 69543450 130902 0
# compatibility_mode=8192 67108863 100 0 2366 2366 0 0
# scanned=45875
# found=16
# cleaned=0
# scan_time=3712
C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25\77faa0d9-600feeea a variant of Java/Exploit.CVE-2012-0507.B trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Temp\jar_cache7767196354223800491.tmp a variant of Java/Exploit.CVE-2012-0507.B trojan (unable to clean) 00000000000000000000000000000000 I
C:\Programme\7Zip\SoftonicDownloader_fuer_7-zip.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\akshhl.dll probably a variant of Win32/Sirefef.ER trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\amdagp.dll probably a variant of Win32/Sirefef.ER trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\ctprxy2k.dll probably a variant of Win32/Sirefef.ER trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\inorpc.dll probably a variant of Win32/Sirefef.ER trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\lsdiorw.dll probably a variant of Win32/Sirefef.ER trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\merakpop3.dll probably a variant of Win32/Sirefef.ER trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\modem.dll probably a variant of Win32/Sirefef.ER trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\naveng.dll probably a variant of Win32/Sirefef.ER trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\pcscnsrv.dll probably a variant of Win32/Sirefef.ER trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\sqlagent$soshome22.dll probably a variant of Win32/Sirefef.ER trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\VirtualCam.dll probably a variant of Win32/Sirefef.ER trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\drivers\netbt.sys Win32/Sirefef.DA trojan (unable to clean) 00000000000000000000000000000000 I
${Memory} multiple threats 00000000000000000000000000000000 I
[code]


OTL

[code]
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SkypePM not found.
File C:\Users\Wolfgang Chelius\AppData\Local\Skype\SkypePM.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator
->Flash cache emptied: 0 bytes

User: All Users

User: Default User

User: Julia
->Flash cache emptied: 456 bytes

User: LocalService

User: NetworkService
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Julia
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 7442050 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 7,00 mb


OTL by OldTimer - Version 3.2.39.2 log created on 03292012_123535

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
[code]

Zitat:

C:\WINDOWS\system32\merakpop3.dll (RootKit.0Access.H) -> No action taken.

Du hast ein ZeroAccess im System, Bereinigung ist da nicht empfohlen.
Folge besser dem Artikel zur Neuinstallation von Windows