Trojaner-Board - Windows wird gesperrt

Hallo,

mein Rechner ist nun auch Mitglied im Club :applaus:
Wenn ich online bin, kommt ziemlich bald die Meldung, dass ich böse war und bezahlen muss, damit Windows entsperrt wird, verziert mit einer Deutschlandfahne und Logos von Kaspersky, Avira, Microsoft und Co.
Runterladen von malwarebytes ging nicht mehr, daher habe ich es auf einem anderen Rechner auf eine externe Festplatte geladen, auf den Desktop gepackt und folgende logfile bekommen:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.21.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Uta :: UTA [Administrator]

22.05.2012 03:31:38
mbam-log-2012-05-22 (03-31-38).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 201650
Laufzeit: 8 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\Uta\Eigene Dateien\Downloads\RemoveWGA12.exe (PUP.RemoveWGA) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\wiavusdc.dll (Heuristics.Shuriken) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Heeeeeelp, büddebüdde.... Uta

...und die dds-logfile:DDS Logfile:

Code:

DDS (Ver_2011-08-26.01) - NTFSx86 

Internet Explorer: 8.0.6001.18702

Run by Uta at 10:34:43 on 2012-05-22

.

============== Running Processes ===============

.

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.google.de/

mDefault_Page_URL = hxxp://de.yahoo.com

mStart Page = hxxp://de.yahoo.com

BHO: {02478D38-C3F9-4efb-9B51-7695ECA05670} - No File

BHO: Complitly: {0fb6a909-6086-458f-bd92-1f8ee10042a0} - c:\dokumente und einstellungen\uta\anwendungsdaten\complitly\Complitly.dll

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: RealPlayer Download and Record Plugin for Internet Explorer: {3049c3e9-b461-4bc5-8870-4c09146192ca} - c:\dokumente und einstellungen\all users\anwendungsdaten\real\realplayer\browserrecordplugin\ie\rpbrowserrecordplugin.dll

BHO: DivX Plus Web Player HTML5 <video>: {326e768d-4182-46fd-9c16-1449a49795f4} - c:\programme\divx\divx plus web player\ie\divxhtml5\DivXHTML5.dll

BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\programme\google\google toolbar\GoogleToolbar_32.dll

BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.7.7227.1100\swg.dll

BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\programme\google\google toolbar\GoogleToolbar_32.dll

TB: loadtbs: {dfefcdee-cf1a-4fc8-88ad-129872198372} - c:\dokumente und einstellungen\uta\anwendungsdaten\loadtbs\toolbar.dll

TB: {00000000-0000-0000-0000-000000000000} - No File

EB: Real.com: {fe54fa40-d68c-11d2-98fa-00c0f0318afe} - c:\windows\system32\Shdocvw.dll

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [swg] "c:\programme\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"

uRun: [MSMSGS] "c:\programme\messenger\msmsgs.exe" /background

uRun: [AutoStartNPSAgent] c:\programme\samsung\samsung new pc studio\NPSAgent.exe

uRun: [Search Protection] c:\programme\yahoo!\search protection\SearchProtection.exe

uRun: [To-Do DeskList] c:\programme\to-do desklist\To-Do DeskList.exe

uRun: [Cewio] "c:\dokumente und einstellungen\uta\anwendungsdaten\apsu\qekop.exe"

uRun: [SkypePM] c:\dokumente und einstellungen\uta\lokale einstellungen\anwendungsdaten\skype\SkypePM.exe

mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe

mRun: [SMSERIAL] sm56hlpr.exe

mRun: [SoundMan] SOUNDMAN.EXE

mRun: [Adobe Reader Speed Launcher] "c:\programme\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"

mRun: [TrueImageMonitor.exe] c:\programme\acronis\trueimagehome\TrueImageMonitor.exe

mRun: [Acronis Scheduler2 Service] "c:\programme\gemeinsame dateien\acronis\schedule2\schedhlp.exe"

mRun: [HP Software Update] c:\programme\hp\hp software update\HPWuSchd2.exe

mRun: [FreePDF Assistant] c:\programme\freepdf_xp\fpassist.exe

mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"

mRun: [NPSStartup] 

mRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime

mRun: [CamAppSTI.exe] c:\programme\aveo usb2.0 pc camera\CamAppSTI.exe

mRun: [TkBellExe] "c:\programme\real\realplayer\update\realsched.exe"  -osboot

mRun: [DivXUpdate] "c:\programme\divx\divx update\DivXUpdate.exe" /CHECKNOW

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\dokume~1\uta\startm~1\progra~1\autost~1\openof~1.lnk - c:\programme\openoffice.org 3\program\quickstart.exe

StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\hpdigi~1.lnk - c:\programme\hp\digital imaging\bin\hpqtra08.exe

StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\hpimag~1.lnk - c:\programme\hp\digital imaging\bin\hpqthb08.exe

StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\micros~1.lnk - c:\programme\microsoft office\office10\OSA.EXE

StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\vr-net~1.lnk - c:\programme\vr-networld\VRToolCheckOrder.exe

StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\winzip~1.lnk - c:\programme\winzip\WZQKPICK32.EXE

IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~2\office10\EXCEL.EXE/3000

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe

IE: {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - {FE54FA40-D68C-11d2-98FA-00C0F0318AFE} - c:\windows\system32\Shdocvw.dll

DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} - hxxps://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\programme\gemeinsame dateien\microsoft shared\web folders\PKMCDO.DLL

.

============= SERVICES / DRIVERS ===============

.

.

=============== Created Last 30 ================

.

2012-05-22 01:26:49    --------    d-----w-    c:\dokumente und einstellungen\uta\anwendungsdaten\Malwarebytes

2012-05-22 01:26:39    --------    d-----w-    c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes

2012-05-22 01:26:38    22344    ----a-w-    c:\windows\system32\drivers\mbam.sys

2012-05-22 01:26:38    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware

2012-05-20 10:58:24    --------    d-----w-    c:\dokumente und einstellungen\uta\anwendungsdaten\Ogykz

2012-05-20 10:58:24    --------    d-----w-    c:\dokumente und einstellungen\uta\anwendungsdaten\Giqik

2012-05-03 20:39:40    --------    d-----w-    c:\dokumente und einstellungen\uta\anwendungsdaten\Yqokf

2012-05-03 20:39:40    --------    d-----w-    c:\dokumente und einstellungen\uta\anwendungsdaten\Apsu

2012-05-03 20:39:40    --------    d-----w-    c:\dokumente und einstellungen\uta\anwendungsdaten\Accy

.

==================== Find3M  ====================

.

2012-05-22 01:03:27    1409    ----a-w-    c:\windows\QTFont.for

2012-04-11 13:51:20    2071424    ----a-w-    c:\windows\system32\ntkrnlpa.exe

2012-04-11 13:51:18    1862400    ----a-w-    c:\windows\system32\win32k.sys

2012-04-11 13:51:17    2194944    ----a-w-    c:\windows\system32\ntoskrnl.exe

2012-03-01 11:00:09    916992    ----a-w-    c:\windows\system32\wininet.dll

2012-03-01 11:00:08    43520    ----a-w-    c:\windows\system32\licmgr10.dll

2012-03-01 11:00:08    1469440    ------w-    c:\windows\system32\inetcpl.cpl

2012-02-29 14:09:48    177664    ----a-w-    c:\windows\system32\wintrust.dll

2012-02-29 14:09:48    148480    ----a-w-    c:\windows\system32\imagehlp.dll

2012-02-29 12:17:40    385024    ----a-w-    c:\windows\system32\html.iec

2011-03-05 19:54:42    690688    ----a-w-    c:\programme\Snipping Tool Plus.exe

.

============= FINISH: 10:35:43,06 ===============

--- --- ---