Hallo,
mich hat es auch erwischt.
Es ist ein ein WinXP-Rechner, ich kann nichts mehr damit machen. Kein abgesicherter Modus möglich. Bis zur Benutzeranmeldung fährt er normal hoch, dann kurz der Desktop und danach der bekannte Bildschirm der Bundespolizei.
Ich habe noch nichts weiter unternommen und hoffe hier auf Hilfe.

Vielen Dank schon mal

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

• Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort).
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.
• Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
• Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
• Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden.
• Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.

Wenn du das alles gelesen und verstanden hast, kannst du loslegen!

Erstellen wir einen bootbaren USB Stick für OTLPE

Wichtig:
Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht mehr vorhanden sein.

• Downloade dir OTLPEstd.exe und speichere die Datei auf dem Desktop.
• Solltest Du kein 7-zip oder Winrar auf deinem System haben, lade dir 7-zip herunter und installiere es.
• Nach der Installation von 7-zip, extrahiere OTLPEstd mit einem Rechtsklick auf OTLPE.iso und wähle Entpacken nach "OTLPEstd\".
  
  
  
  
  
  Nun öffne bitte den Ordner OTLPEStd und mache einen Rechtklick auf die OTLPE_New_Std.iso und wähle in 7zip Dateien entpacken
  
  
  
  Entpacke die Dateien in einen Ordner ( OTLPE ) auf dem Desktop. Nehme bitte ebenfalls die Einstellung wie im Bild vor.
  
  

Downloade dir eeepcfr.zip und entpacke die Datei nach Systemroot (meistens C:\).

• Leere den USB Stick auf den Du OTLPE erstellen willst.
• Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
• Drücke im DOS Fenster eine beliebige Taste.
• Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
  Für Drive Label: gib ein OTLPE.
  Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
  Setze ein Häckchen bei Enable File Copy.
• Klicke Start, akzeptiere die Nutzungsbestimmungen.

Nun kannst Du mit dem USB Stick dein System starten!

Nun boote von mit der OTLPE USB Stick.
Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device auswählen)

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

vielen Dank für deine Hilfe.
OTLPEStd.exe liegt auf dem Desktop und 7-Zip ist installiert. Mein erstes Problem:
im Kontextmenü ist 7-Zip nicht vorhanden, obwohl in den Einstellungen das Häkchen gesetzt ist. Neustart hat auch nichts gebracht.

du kannst es auch mit winrar versuchen
Die aktuellste Version von WinRAR zum Download | winrar.de - offizieller WinRAR-Distributor

mit Winrar das hat geklappt, entpackt nach OTLPEStd\, aber wo ist jetzt der Ordner in dem die iso-Datei ist?

In dem Ordner, den du gerade erzeugt hast: OTLPEStd\

gut, Ordner gefunden, eeecpfr.zip ist auch entpackt, das Skript wurde ausgeführt, hat aber den USB-Stick nicht gefunden, ich weiß nicht, wo ich den entsprechenden LW-Buchstaben eintragen soll;
Und jetzt noch mal zum Verständnis für mich. Was wird auf den Stick kopiert? Das, was ich jetzt hier mache, wird an einem anderen PC mit Win7 gemacht, wie soll das dann auf dem befallenen WinXP-Rechner funktionieren

Ja, das funktioniert schon

Starte die usb_prep.cmd mit Rechtsklick > als Administrator

Wenn das nicht funtioniert. Den Stick nicht vorne am PC einstecken falls du das probierst, sondern hinten oder sonst einen anderen Port benutzen.

ich komme nicht weiter, auch mein Englisch ist nicht so gut, den LW-Buchstaben konnte ich wohl festlegen, aber im DOS-Fenster sind noch mehr Abfragen

Jetzt wollte ich eigentlich das DOS-Fenster hier reinkopieren, damit du siehst, an welcher Stelle ich nicht weiter komme, hat aber nicht geklappt.
Wenn du heute nicht mehr online bist, ich kann dann erst Montag wieder weiter machen, da der infizierte PC in meiner Zweitwohnung in Berlin steht

In Ordnung, mir scheint wir sollten versuchen einen anderen Weg zu gehen, vielleicht ist das für dich einfacher. Wir haben eine frisch ins Deutsche übersetzte Anleitung

Probiere bitte das folgende:

Erstellen einer UBCD4Win-CD und Scan mit FRST (Windows XP)

Die folgenden Schritte sind sehr komplex, daher druckst du dir die Anleitung besser aus. Außerdem brauchst du:

• Einen funktionierenden Computer mit DVD/CD-Brenner
• Einen CD-Rohling.
• Einen USB-Stick.

Falls du bei den folgenden Schritten eine Fehlermeldung bekommst, gib mir bitte Bescheid und gib an, an welcher Stelle das genau passiert ist.

A) Lade dir bitte die Ultimate Boot CD für Windows

• Speichere es auf deinen Desktop und doppelklicke die UBCD4Win.EXE.
• Folge den Anweisungen auf dem Bildschirm.
• Wichtig:
  • Installiere es nicht in einen Ordner mit Leerzeichen!
  • Dein Virusscanner könnte anschlagen, wenn die Dateien entpackt werden. Dies sind aber Fehlalarme.

B) Lege deine Windows XP CD mit SP1/SP2/SP3 (Servicepacks) in dein CD-Laufwerk

• Doppelklicke die UBCD4WinBuilder.exe im Ordner c:\ubcd4win, falls du nicht gleich vom Setup dorthin gesprungen bist.
• Unter Windows Vista / 7 / 8 musst du den Builder mit Rechtsklick > Als Administrator starten.
• Klicke Ich stimme zu, bei der nächsten Frage: Nein
• Im folgenden Menü mache folgende Einstellungen:
  • Quelle: Klicke "..." und wähle das Laufwerk aus.
  • Zusätzliches: Lass das hier leer.
  • Zielordner: Hier steht "BartPE", lass das so.
  • Bootmedium: "ISO-Image erstellen" sollte angewählt sein - belasse dies so.
  
  Hinweis: Falls deine XP-CD das Service Pack 1 enthält (nur dann), mache bitte folgendes:
  • Klicke auf Plugins.
  • Deaktiviere !Critical: DComLaunch Service
  • Aktiviere !Critical: LargeIDE Fix
  • Klicke: Schliessen
  
  Hinweis: Falls du eine Installations-CD von Dell hast, dann folge bitte diesem Link für weitere Hinweise.

C) Klicke jetzt auf den Start-Button

• Klicke zum Erstellen des Verzeichnisses auf Ja.
• Klicke auf "Ich stimme zu", warte einige Minuten während das Image erstellt wird und dann auf schliessen > Beenden.

D) Brenne das ISO-Image auf den CD-Rohling: Anleitung

E) Lade Farbar's Recovery Scan Tool auf den sauberen Rechner und speichere es auf den USB-Stick.

F) Schließe den USB-Stick an den infizierten Rechner an, lege die UBCD4Win-CD ein und starte ihn.

• Sorge dafür, dass der Computer von CD startet. (Anleitung)
• Es erscheint ein Fenster in dem du die Ultimate Boot CD für Windows auswählst und Enter drücken sollst. Dies kann eine Weile dauern, sei einfach geduldig.
• Wenn der Desktop erscheint, wird eine Nachricht erscheinen: Do you want to start Network support? Antworte mit Ja, wenn du sofort online gehen willst, um dein Logfile zu posten.
• Es erscheint ein blauer Desktop mit grüner Schrift und einigen Icons auf der linken Seite.

G) Klicke auf das Computersymbol oben links, finde Farbar's Recovery Scan Tool (FRST.exe) auf deinem USB-Stick.

• Starte FRST mit einem Doppelklick.
• Bestätige die Abfrage.
• Klicke auf Scan
• Ein Logfile namens FRST.txt wird erstellt. Poste es hier in deinem Thema, möglichst in CODE-Tags (#-Symbol im Editor).

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo, bin wieder vor Ort, Danke für deine Gedult,
den UBCD4WinBuilder habe ich installiert. Da das SP2 auf einer zweiten CD ist, habe ich noch das eine Plug in aktiviert, dann auf Start gedrückt und dann kam folgende Fehlermeldung: Source files wrong version. File version "G\i386\ntdll.dll is 5.1.2600.0 should be 5.1.2600.1045 or higher. You must use Windows XP SP1 or Server 2003 version of windows!

Das bedeutet, dass deine CD ganz ohne Servicepack ist ...

Tut mir leid für dich, dann muss ich dir noch eine weitere Anleitung geben:


Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
  ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Drücke nun auf Scan.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.

Berichte mir ob du das kannst oder nicht.

Ich komme nicht in den abgesicherten Modus. Kann es sein, das die Tastatur nicht erkannt wurde? Beim Boot-Vorgang blinkt doch kurz die Num-LED, oder? Jedenfalls kann ich nach dem Hochfahren die Num-Taste nicht aktivieren/deaktivieren, keine LED