Hallo! Habe srep.exe runtergeladen und nun diese shell.txt erhalten (polizeitrojaner):

WIN_XP X86 Service Pack 3
Running from F:\

HKLM\..\Winlogon; Shell = Explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
srep.exe


HKLM\..\Run [IgfxTray] = C:\WINDOWS\system32\igfxtray.exe
HKLM\..\Run [HotKeysCmds] = C:\WINDOWS\system32\hkcmd.exe
HKLM\..\Run [Persistence] = C:\WINDOWS\system32\igfxpers.exe
HKLM\..\Run [RTHDCPL] = RTHDCPL.EXE
HKLM\..\Run [AsusACPIServer] = C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
HKLM\..\Run [AsusEPCMonitor] = C:\Programme\EeePC\ACPI\AsEPCMon.exe
HKLM\..\Run [AsusTray] = C:\Programme\EeePC\ACPI\AsTray.exe
HKLM\..\Run [SynTPEnh] = C:\Programme\Synaptics\SynTP\SynTPEnh.exe
HKLM\..\Run [SynAsusAcpi] = C:\Programme\Synaptics\SynTP\SynAsusAcpi.exe
HKLM\..\Run [SunJavaUpdateSched] = "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
HKLM\..\Run [AVG_UI] = "C:\Programme\AVG\AVG2013\avgui.exe" /TRAYONLY
HKLM\..\Run [vProt] = "C:\Programme\AVG Secure Search\vprot.exe"
HKLM\..\Run [ROC_ROC_NT] = "C:\Programme\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT

HKCU\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe
HKCU\..\Run [Eee Docking] = C:\Programme\ASUS\Eee Docking\Eee Docking.exe

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-20_Classes\..\Winlogon; Shell =
HKU\S-1-5-21-3813931961-1705178915-1231190258-1006\..\Winlogon; Shell =
HKU\S-1-5-21-3813931961-1705178915-1231190258-1006_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-3813931961-1705178915-1231190258-1006\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-3813931961-1705178915-1231190258-1006\..\Run [Eee Docking] = C:\Programme\ASUS\Eee Docking\Eee Docking.exe
HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE

==== FINISH 01.01-01.48 ====

Und wer hat dich angewiesen SREP zu benutzen?

Habe einen polizeitrojaner. Und leider weiss ich nicht was ich da tun solk u habe dies in einen beitrag gelesen. Dachte es waere hilfreich.

Aber unsere Anleitung für Hilfesuchende liest du nicht?

Kannst du im abgesicherten Modus booten?

Zitat:

Lesestoff:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:

Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung

Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.

Ja das ist moeglich. Welche anleitung meinst du? Bin neu hier. Kenne mich hier nicht gut aus ebenso wenig mit computern.

Dennoch liest man die "Wichtig" Themen, weil sie möglicherweise wichtig sind.

Also dann los:

Scan mit Combofix

Zitat:

WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hier der Inhalt der Combofix.txt:


Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-12-14.01 - admin 7.01.16522   1:36.1.2 - x86 NETWORK
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.512 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\admin\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\admin\wgsdgsdgdsgsd.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\0tbpw.pad
c:\dokumente und einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad
c:\dokumente und einstellungen\All Users\Anwendungsdaten\RUNDLL32.EXE-x.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\avgmfapx.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\avgmfarx.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\avgntdumpx.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\avgrunasx.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\compat.ini
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\htmlayout.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\incavi.avm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_cz.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_da.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_es.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_fr.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_ge.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_hu.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_id.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_in.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_it.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_jp.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_ko.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_ms.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_nl.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_pb.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_pl.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_pt.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_ru.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_sc.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_sk.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_sp.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_tr.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_us.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_zh.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\license_zt.htm
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfaconf.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfacz.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfada.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfaes.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfafr.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfage.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfahu.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfaid.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfain.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfait.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfajp.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfako.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfams.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfanl.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfapb.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfapl.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfapt.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfaru.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfasc.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfask.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfasp.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfatr.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfaus.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfavera.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfaverx.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfazh.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\mfazt.lns
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\setup.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\AVG\setup.ini
c:\windows\system32\Cache
c:\windows\system32\Cache\272512937d9e61a4.fb
c:\windows\system32\Cache\287204568329e189.fb
c:\windows\system32\Cache\28bc8f716fd76a47.fb
c:\windows\system32\Cache\31a0997e9a5b5eb3.fb
c:\windows\system32\Cache\32c84fe32bb74d60.fb
c:\windows\system32\Cache\3917078cb68ec657.fb
c:\windows\system32\Cache\590ba23ce359fd0c.fb
c:\windows\system32\Cache\610289e025a3ee9a.fb
c:\windows\system32\Cache\651c5d3cdbfb8bd1.fb
c:\windows\system32\Cache\6c59ac5e7e7a3ad0.fb
c:\windows\system32\Cache\6d03dad1035885d3.fb
c:\windows\system32\Cache\a8556537add6dfc5.fb
c:\windows\system32\Cache\ad10a52aff5e038d.fb
c:\windows\system32\Cache\c1fa887b03019701.fb
c:\windows\system32\Cache\c4d28dca2e7648be.fb
c:\windows\system32\Cache\c8355b171e656ab0.fb
c:\windows\system32\Cache\d201ef9910cd39de.fb
c:\windows\system32\Cache\d2e94710a5708128.fb
c:\windows\system32\Cache\d79b9dfe81484ec4.fb
c:\windows\system32\Cache\f998975c9cc711ee.fb
c:\windows\system32\Thumbs.db
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\regtlib.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 1651-11-07 bis 16522-01-07  ))))))))))))))))))))))))))))))
.
.
16522-01-06 23:01 . 16522-01-06 23:01	--------	d-----w-	c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\MFAData
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-11 01:05 . 2001-12-31 23:24	261600	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	94208	----a-w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	94208	----a-w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	94208	----a-w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	94208	----a-w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eee Docking"="c:\programme\ASUS\Eee Docking\Eee Docking.exe" [2009-05-08 395776]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2009-04-27 17881088]
"AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2009-04-16 630784]
"AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2009-03-13 98304]
"AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2009-04-16 118784]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2009-03-06 1434920]
"SynAsusAcpi"="c:\programme\Synaptics\SynTP\SynAsusAcpi.exe" [2009-03-06 79144]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\admin\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\admin\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-6-14 27595032]
runctf.lnk - c:\windows\system32\rundll32.exe [2009-5-13 33792]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
 SuperHybridEngine.lnk - c:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-5-13 376832]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"c:\\Dokumente und Einstellungen\\admin\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R1 avgtp;avgtp;c:\windows\system32\drivers\avgtpx86.sys [01.01.2002 00:34 26984]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [28.04.2009 02:59 38912]
S2 vToolbarUpdater13.2.0;vToolbarUpdater13.2.0;c:\programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [21.11.2012 09:38 711112]
S2 WTGService;WTGService;c:\programme\3DataManager\WTGService.exe [27.09.2010 16:45 312784]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [13.05.2009 21:26 1684736]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [27.09.2010 16:46 101248]
S3 SRS_PremiumSound_Service;SRS Labs Premium Sound;c:\windows\system32\drivers\SRS_PremiumSound_i386.sys [13.05.2009 22:30 232872]
S3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [28.04.2009 06:47 39040]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WTGSERVICE
*Deregistered* - BMLoad
.
Inhalt des "geplante Tasks" Ordners
.
2002-01-01 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-11-21 10:46]
.
16522-01-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-19 17:24]
.
16522-01-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-11-19 17:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = https://login.yahoo.com/config/mail?&.src=ym&.intl=de
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.43.1
Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - c:\programme\Gemeinsame Dateien\AVG Secure Search\ViProtocolInstaller\13.2.0\ViProtocol.dll
FF - ProfilePath - c:\dokumente und einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\n5nou6va.default\
FF - prefs.js: browser.startup.homepage - hxxp://derstandard.at/
FF - prefs.js: keyword.URL - hxxps://isearch.avg.com/search?cid=%7B0df8e3e7-e3ca-45ee-9ec9-e359e36ce70d%7D&mid=09fb8ad6239daaa0a086319b005a70ea-52d576c80f3a02ce9fd5d3b78c9f08470dcc2bfb&ds=AVG&v=12.2.5.34&lang=de&pr=pr&d=2002-01-01%2000%3A34%3A45&sap=ku&q=
FF - prefs.js: network.proxy.type - 0
FF - ExtSQL: !HIDDEN! 2010-10-06 21:36; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{95B7759C-8C7F-4BF1-B163-73684A933233} - c:\programme\AVG Secure Search\13.2.0.5\AVG Secure Search_toolbar.dll
Toolbar-{95B7759C-8C7F-4BF1-B163-73684A933233} - c:\programme\AVG Secure Search\13.2.0.5\AVG Secure Search_toolbar.dll
WebBrowser-{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - (no file)
HKLM-Run-vProt - c:\programme\AVG Secure Search\vprot.exe
HKLM-Run-ROC_ROC_NT - c:\programme\AVG Secure Search\ROC_ROC_NT.exe
MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-MsnMsgr - c:\program files\Windows Live\Messenger\MsnMsgr.Exe
MSConfigStartUp-SRS Premium Sound - c:\programme\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe
AddRemove-AVG Secure Search - c:\programme\AVG Secure Search\UNINSTALL.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 16522-01-07 01:48
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PEVSystemStart]
"ImagePath"="\"c:\combofix\pev.3XE\" EXEC /i \"c:\combofix\REGT.3XE\" /S \"c:\combofix\CregB.dat\""
.
Zeit der Fertigstellung: 16522-01-07  01:50:38
ComboFix-quarantined-files.txt  16522-01-07 00:50
.
Vor Suchlauf: 8 Verzeichnis(se), 54.790.696.960 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 56.480.182.272 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 0026B7648EEF03BBCB88C1B1CF4E8C5B
         

--- --- ---


Außerdem habe zwischendrin immer wieder die Fehlermeldung bekommen: "Exception EConvertError in module ERUNT.3XE at 00007C5A. Invalid argument to date encode."

OK kein Problem

Du solltest mittlerweile wieder normal booten können.

Bitte:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Funktioniert leider nicht. In dem Moment wo ich auf Auswahl entfernen klicke bekomme ich einen Fehlerbericht...

Aber normal booten kannst du?

Dann probiere das bitte:

Scan mit MBAR

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Habe genau das selbe problem wieder. Es findet den virus und sobald ich auf cleanup gehe kommt wieder ein fehlerbericht.

Und was genau findet es denn?

es wurde eine system log datei erstellt und noch eine weitere mbar-log datei:

---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.01.0.1011

(c) Malwarebytes Corporation 2011-2012

OS version: 5.1.2600 Windows XP Service Pack 3 x86

Account is Administrative

Internet Explorer version: 6.0.2900.5512

Java version: 1.6.0_24

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED
CPU speed: 1.599000 GHz
Memory total: 1064480768, free: 483385344

------------ Kernel report ------------
01/07/16522 03:39:43
------------ Loaded modules -----------
\WINDOWS\system32\ntkrnlpa.exe
\WINDOWS\system32\hal.dll
\WINDOWS\system32\KDCOM.DLL
\WINDOWS\system32\BOOTVID.dll
ACPI.sys
\WINDOWS\system32\DRIVERS\WMILIB.SYS
pci.sys
isapnp.sys
compbatt.sys
\WINDOWS\system32\DRIVERS\BATTC.SYS
pciide.sys
\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
MountMgr.sys
ftdisk.sys
PartMgr.sys
ACPIEC.sys
\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
VolSnap.sys
atapi.sys
iaStor.sys
disk.sys
\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
fltMgr.sys
sr.sys
KSecDD.sys
WudfPf.sys
Ntfs.sys
NDIS.sys
Mup.sys
BMLoad.sys
\SystemRoot\system32\DRIVERS\intelppm.sys
\SystemRoot\system32\DRIVERS\igxpmp32.sys
\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\athw.sys
\SystemRoot\system32\DRIVERS\l1c51x86.sys
\SystemRoot\system32\DRIVERS\usbuhci.sys
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\i8042prt.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\SynTP.sys
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\WDFLDR.SYS
\SystemRoot\System32\Drivers\wdf01000.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\CmBatt.sys
\SystemRoot\system32\DRIVERS\ASUSACPI.sys
\SystemRoot\system32\DRIVERS\audstub.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\DRIVERS\psched.sys
\SystemRoot\system32\DRIVERS\msgpc.sys
\SystemRoot\system32\DRIVERS\ptilink.sys
\SystemRoot\system32\DRIVERS\raspti.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\update.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\system32\drivers\RtkHDAud.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\System32\Drivers\Fs_Rec.SYS
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\??\C:\WINDOWS\system32\drivers\avgtpx86.sys
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\Drivers\mnmdd.SYS
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\rasacd.sys
\SystemRoot\system32\DRIVERS\ipsec.sys
\SystemRoot\system32\DRIVERS\tcpip.sys
\SystemRoot\System32\Drivers\tcpipBM.SYS
\SystemRoot\system32\DRIVERS\netbt.sys
\SystemRoot\System32\drivers\ws2ifsl.sys
\SystemRoot\System32\drivers\afd.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\System32\Drivers\Fips.SYS
\SystemRoot\system32\DRIVERS\USBSTOR.SYS
\SystemRoot\system32\DRIVERS\ipnat.sys
\SystemRoot\System32\Drivers\usbvideo.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\System32\Drivers\Fastfat.SYS
\SystemRoot\System32\Drivers\dump_iaStor.sys
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\watchdog.sys
\SystemRoot\System32\drivers\dxg.sys
\SystemRoot\System32\drivers\dxgthk.sys
\SystemRoot\System32\igxpgd32.dll
\SystemRoot\System32\igxprd32.dll
\SystemRoot\System32\igxpdv32.DLL
\SystemRoot\System32\igxpdx32.DLL
\SystemRoot\System32\ATMFD.DLL
\SystemRoot\system32\DRIVERS\fssfltr_tdi.sys
\SystemRoot\system32\DRIVERS\ndisuio.sys
\SystemRoot\system32\DRIVERS\mrxdav.sys
\SystemRoot\system32\DRIVERS\srv.sys
\SystemRoot\system32\drivers\wdmaud.sys
\SystemRoot\system32\drivers\sysaudio.sys
\SystemRoot\system32\DRIVERS\ewusbmdm.sys
\SystemRoot\System32\Drivers\Modem.SYS
\SystemRoot\system32\DRIVERS\cdrom.sys
\SystemRoot\system32\DRIVERS\redbook.sys
\SystemRoot\System32\Drivers\Cdfs.SYS
\SystemRoot\System32\Drivers\HTTP.sys
\SystemRoot\system32\DRIVERS\asyncmac.sys
\SystemRoot\system32\drivers\kmixer.sys
\??\C:\WINDOWS\system32\drivers\mbamchameleon.sys
\??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys
\WINDOWS\system32\ntdll.dll
----------- End -----------
<<<1>>>
Upper Device Name: \Device\Harddisk2\DR7
Upper Device Object: 0xffffffff85848860
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\00000080\
Lower Device Object: 0xffffffff84b1f308
Lower Device Driver Name: \Driver\usbstor\
Driver name found: usbstor
DriverEntry returned 0x0
Function returned 0x0
<<<1>>>
Upper Device Name: \Device\Harddisk1\DR5
Upper Device Object: 0xffffffff84b0f0c8
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\00000074\
Lower Device Object: 0xffffffff858301d0
Lower Device Driver Name: \Driver\usbstor\
Driver name found: usbstor
<<<1>>>
Upper Device Name: \Device\Harddisk0\DR0
Upper Device Object: 0xffffffff8654a030
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\Ide\IAAStorageDevice-0\
Lower Device Object: 0xffffffff8656d028
Lower Device Driver Name: \Driver\iaStor\
Driver name found: iaStor
DriverEntry returned 0x0
Function returned 0x0
Downloaded database version: v2012.12.14.12
Initializing...
Done!
<<<2>>>
Device number: 0, partition: 1
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xffffffff8654a030, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff8654ae08, DeviceName: Unknown, DriverName: \Driver\PartMgr\
DevicePointer: 0xffffffff8654a030, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
DevicePointer: 0xffffffff8657b310, DeviceName: \Device\00000067\, DriverName: \Driver\ACPI\
DevicePointer: 0xffffffff8656d028, DeviceName: \Device\Ide\IAAStorageDevice-0\, DriverName: \Driver\iaStor\
------------ End ----------
Upper DeviceData: 0xffffffffe2cb8888, 0xffffffff8654a030, 0xffffffff85b93040
Lower DeviceData: 0xffffffffe1509038, 0xffffffff8656d028, 0xffffffff8489ee48
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning directory: C:\WINDOWS\system32\drivers...
Done!
Drive 0
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: C0BF6260

Partition information:

Partition 0 type is Primary (0x7)
Partition is ACTIVE.
Partition starts at LBA: 63 Numsec = 151123392
Partition file system is NTFS
Partition is bootable

Partition 1 type is Primary (0x7)
Partition is NOT ACTIVE.
Partition starts at LBA: 151123455 Numsec = 151107390

Partition 2 type is Other (0x1c)
Partition is NOT ACTIVE.
Partition starts at LBA: 302230845 Numsec = 10249470

Partition 3 type is Other (0xef)
Partition is NOT ACTIVE.
Partition starts at LBA: 312480315 Numsec = 96390

Disk Size: 160041885696 bytes
Sector size: 512 bytes

Scanning physical sectors of unpartitioned space on drive 0 (1-62-312561808-312581808)...
Physical Sector Size: 512
Drive: 1, DevicePointer: 0xffffffff84b0f0c8, DeviceName: \Device\Harddisk1\DR5\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff8584f7f0, DeviceName: Unknown, DriverName: \Driver\PartMgr\
DevicePointer: 0xffffffff84b0f0c8, DeviceName: \Device\Harddisk1\DR5\, DriverName: \Driver\Disk\
DevicePointer: 0xffffffff858301d0, DeviceName: \Device\00000074\, DriverName: \Driver\usbstor\
------------ End ----------
Upper DeviceData: 0xffffffffe6688a38, 0xffffffff84b0f0c8, 0xffffffff848f0600
Lower DeviceData: 0xffffffffe1509308, 0xffffffff858301d0, 0xffffffff847db040
Drive 1
Scanning MBR on drive 1...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: 0

Partition information:

Partition 0 type is Other (0xb)
Partition is NOT ACTIVE.
Partition starts at LBA: 8192 Numsec = 7736320

Partition 1 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0

Partition 2 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0

Partition 3 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0

Disk Size: 3965190144 bytes
Sector size: 512 bytes

Physical Sector Size: 0
Drive: 2, DevicePointer: 0xffffffff85848860, DeviceName: \Device\Harddisk2\DR7\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff8598c6b0, DeviceName: Unknown, DriverName: \Driver\PartMgr\
DevicePointer: 0xffffffff85848860, DeviceName: \Device\Harddisk2\DR7\, DriverName: \Driver\Disk\
DevicePointer: 0xffffffff84b1f308, DeviceName: \Device\00000080\, DriverName: \Driver\usbstor\
------------ End ----------
Done!
Performing system, memory and registry scan...
Infected: C:\Dokumente und Einstellungen\admin\Startmenü\Programme\Autostart\runctf.lnk --> [Trojan.Ransom.SUGen]
Done!
Scan finished
Creating System Restore point...
Scheduling clean up...


weiss nicht ob das weiter hilft...

zweite log-datei:

Malwarebytes Anti-Rootkit 1.01.0.1011
Malwarebytes : Free Anti-Malware download

Database version: v2012.12.14.12

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
admin :: NAME-LXEX7875A4 [administrator]

07.01.16522 03:58:34
mbar-log-16522-01-07 (03-58-34).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 25384
Time elapsed:

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
C:\Dokumente und Einstellungen\admin\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Delete on reboot.

(end)

Gut!

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen. Da diese sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
ESET Online Scanner

Zitat:

Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Bitte hier klicken --->
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.
• drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern!

Wenn der Scan beendet wurde

• Klicke und dann
• Speichere das Logfile als ESET.txt auf dem Desktop.
• Klicke Back und Finish

Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 2:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck: LINK1 LINK2

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

zur frage vorher er findet eine infizierte datei namens trojan.ransom.SUGen. die findet er noch immer.