Trojaner-Board - CPU ausgelastet

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - CPU ausgelastet (https://www.trojaner-board.de/100695-cpu-ausgelastet.html)

Hallo,

ich habe jetzt nicht so die ganz große Ahnung von PCs, darum verzeiht, wenn irgendwas nicht ganz korrekt wiedergeben kann. Versuche so gut es geht zu beschreiben.

http://www.trojaner-board.de/100600-...seiten-um.html
Mein Problem ist ähnlich diesem hier.

Angefangen hat das ganze heute morgen, plötzlich war meine CPU-Auslastung dauernd auf 100% und ich konnte kaum mehr etwas machen.

Bei Google werde ich auch teilweise auf komische Seiten weiterverlinkt (also dass ich auf eine chip.de Seite klicke und dann zB auf eine leere Seite mit Text "404 Error" weitergeleitet werde und deren URL anders ist)

Ebenfalls ist beim ausschalten oder neu starten erst der blaue Windowshintergrund zu sehen, ganz normal, dann noch einmal nur mein Desktophintergrund und dann nichts mehr. Wie auch in oben verlinktem Thema: ich sehe den Hintergrund, meinen Cursor und dann macht der PC nichts mehr.

Was nicht so ist wie in verlinktem Thema: mein Firefox scheint irgendwie betroffen zu sein glaube ich.
In unregelmäßigen Abständen öffnet er ein komplett neues Fenster mit zig Tabs, hier einmal ein Screenshot davon:
hxxp://oi55.tinypic.com/2hqfdp3.jpg

Google Ergebnisse, sofern ich sie überhaupt richtig verlinkt bekam, haben mir bisher nicht geholfen, da immer nur ein Teil meiner Probleme zutreffend war.

Da ich ja doch noch ein etwas anderes Problem habe als das oben verlinkte, habe ich auch die Hinweise im anderen Thread erst mal nicht befolgt, in der Anleitung wie man hier postet stand ja irgendwo drin, dass man nicht blind alles befolgen soll, nur weil das Problem ähnlich klingt.

Von daher... Hilfe? Bitte? =\

Liebe Grüße

hi
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

Hm, wunderbar, wenn ich es posten möchte, unterbricht es die Verbindung zur Seite!?

Habe es jetzt mal als Anhänge drangefügt.

hi, öffne malwarebytes, logdateien, poste mir alle logs mit funden

Ich habe das Programm mehrmals durchlaufen lassen, das hier sind alle mit Funden, der Letzte von heute hatte dann nichts mehr gefunden (Problem besteht natürlich weiterhin, sonst hätte ich hier ja nicht gepostet):

Code:

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org
 

Datenbank Version: 6916
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13
 

23.06.2011 13:08:41

mbam-log-2011-06-23 (13-08-41).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 144760

Laufzeit: 8 Minute(n), 18 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 7
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> Value: kr_done1 -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.162.82,93.188.161.222) Good: () -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\WINDOWS\system32\kr_done1 (Malware.Trace) -> Quarantined and deleted successfully.

c:\dokumente und einstellungen\Sanow\lokale einstellungen\Temp\0.03365674356149295.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.

c:\dokumente und einstellungen\Sanow\lokale einstellungen\Temp\0.4841346607624303.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.

c:\dokumente und einstellungen\Sanow\lokale einstellungen\Temp\0.8579833881857095.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.

c:\dokumente und einstellungen\Sanow\anwendungsdaten\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.

c:\dokumente und einstellungen\Sanow\anwendungsdaten\Adobe\plugs\mmc1964625.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

c:\dokumente und einstellungen\Sanow\anwendungsdaten\Adobe\plugs\mmc93.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

Code:

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org
 

Datenbank Version: 6923
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13
 

23.06.2011 14:30:46

mbam-log-2011-06-23 (14-30-46).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 145135

Laufzeit: 10 Minute(n), 15 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\dokumente und einstellungen\sanow\lokale einstellungen\temp\3d0.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\dokumente und einstellungen\sanow\lokale einstellungen\temp\3d1.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Code:

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org
 

Datenbank Version: 6917
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13
 

23.06.2011 15:50:40

mbam-log-2011-06-23 (15-50-40).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Durchsuchte Objekte: 209090

Laufzeit: 35 Minute(n), 19 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\dokumente und einstellungen\Sanow\anwendungsdaten\Sun\Java\deployment\cache\6.0\31\77345e1f-4be7f5b8 (Trojan.Downloader.VCP) -> Quarantined and deleted successfully.

c:\dokumente und einstellungen\Sanow\lokale einstellungen\temporary internet files\Content.IE5\RGNZNRR7\windows-update-sp4-kb56455-setup[1].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.

ok, aber ich muss immer einen genauen überblick haben, um dir best möglich helfen zu können, desween, jede av meldung die du bekommst, jedes neue symtom, posten.

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Momentan läuft das System recht stabil, die 100%ige CPU Auslastung ist momentan nicht zu spüren, dafür vermehrt dieses neue Firefoxfenster...

EDIT: Also, vor dem Scan jedenfalls. Jetzt muss ich mal schauen wie es ist.

Code:

ComboFix 11-06-22.05 - Sanow 23.06.2011  17:50:37.1.2 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.449 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Sanow\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Sanow\Anwendungsdaten\Adobe\plugs

c:\dokumente und einstellungen\Sanow\Anwendungsdaten\Adobe\shed

.

c:\windows\system32\drivers\ntfs.sys . . . ist infiziert!!

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-05-23 bis 2011-06-23  ))))))))))))))))))))))))))))))

.

.

2011-06-23 12:52 . 2011-06-23 12:52        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Thunderbird

2011-06-23 12:52 . 2011-06-23 12:52        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Thunderbird

2011-06-22 10:58 . 2011-06-22 10:58        --------        d-----w-        c:\dokumente und einstellungen\Sanow\Anwendungsdaten\Malwarebytes

2011-06-22 10:57 . 2011-05-29 07:11        39984        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-06-22 10:57 . 2011-06-22 10:57        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2011-06-22 10:57 . 2011-06-22 10:57        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2011-06-22 10:57 . 2011-05-29 07:11        22712        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-06-09 18:03 . 2011-06-21 07:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype Extras

2011-06-09 18:03 . 2011-06-09 18:03        --------        d-----w-        c:\programme\Gemeinsame Dateien\Skype

2011-06-07 10:35 . 2011-06-07 10:35        103864        ----a-w-        c:\programme\Internet Explorer\Plugins\nppdf32.dll

2011-05-29 04:21 . 2011-05-29 04:21        --------        d-----w-        c:\dokumente und einstellungen\Sanow\Anwendungsdaten\go

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-05-02 15:31 . 2002-01-01 13:42        692736        ----a-w-        c:\windows\system32\inetcomm.dll

2011-04-29 16:19 . 2008-04-14 12:00        456320        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys

2011-04-25 15:44 . 2008-04-14 12:00        832512        ----a-w-        c:\windows\system32\wininet.dll

2011-04-25 15:44 . 2008-04-14 12:00        1830912        ----a-w-        c:\windows\system32\inetcpl.cpl

2011-04-25 15:44 . 2008-04-14 12:00        78336        ----a-w-        c:\windows\system32\ieencode.dll

2011-04-25 15:44 . 2008-04-14 12:00        17408        ----a-w-        c:\windows\system32\corpol.dll

2011-04-25 12:01 . 2008-04-14 12:00        389120        ----a-w-        c:\windows\system32\html.iec

2011-04-21 13:37 . 2008-04-14 12:00        105472        ----a-w-        c:\windows\system32\drivers\mup.sys

2011-06-16 04:32 . 2011-06-23 12:40        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]

2009-04-02 10:47        333192        ----a-w-        c:\programme\AskBarDis\bar\bin\askBar.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2009-04-02 333192]

.

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2009-04-02 333192]

.

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 790528]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"nwiz"="nwiz.exe" [2006-10-22 1622016]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-09-08 421888]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]

"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]

"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]

.

c:\dokumente und einstellungen\Sanow\Startmen\Programme\Autostart\

OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Trillian\\trillian.exe"=

"c:\\Programme\\Vuze\\Azureus.exe"=

"c:\\Programme\\mIRC\\mirc.exe"=

"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Programme\\eMule\\emule.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

.

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.06.2009 01:42 108289]

R2 ASKService;ASKService;c:\programme\AskBarDis\bar\bin\AskService.exe [10.07.2009 13:02 464264]

R2 ASKUpgrade;ASKUpgrade;c:\programme\AskBarDis\bar\bin\ASKUpgrade.exe [10.07.2009 13:02 234888]

R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [22.06.2011 12:57 366640]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [22.06.2011 12:57 22712]

S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]

.

Inhalt des "geplante Tasks" Ordners

.

2011-04-25 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Connection Wizard,ShellNext = iexplore

TCP: Interfaces\{40CBD74F-AEBA-4A1F-835A-7F8158A08923}: NameServer = 195.50.140.116 195.50.140.180

FF - ProfilePath - c:\dokumente und einstellungen\Sanow\Anwendungsdaten\Mozilla\Firefox\Profiles\pcsg8f95.default\

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKCU-Run-DW6 - c:\programme\The Weather Channel FW\Desktop\DesktopWeather.exe

HKLM-Run-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe

MSConfigStartUp-Messenger (Yahoo!) - c:\progra~1\Yahoo!\Messenger\YahooMessenger.exe

AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\programme\DivX\DivXCodecUninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-06-23 18:07

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net

Windows 5.1.2600 Disk: WDC_WD1600AAJS-00L7A0 rev.01.03E01 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 

.

device: opened successfully

user: MBR read successfully

error: Read  Ein an das System angeschlossenes Gerät funktioniert nicht.

kernel: MBR read successfully

detected disk devices:

detected hooks:

\Driver\atapi DriverStartIo -> 0x8671231B

user & kernel MBR OK 

copy of MBR has been found in sector 312560640 

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'explorer.exe'(3528)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe

c:\windows\system32\nvsvc32.exe

c:\programme\Analog Devices\SoundMAX\SMAgent.exe

c:\windows\system32\RUNDLL32.EXE

c:\programme\OpenOffice.org 3\program\soffice.exe

c:\programme\OpenOffice.org 3\program\soffice.bin

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-06-23  18:14:04 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-06-23 16:13

.

Vor Suchlauf: 8 Verzeichnis(se), 66.870.018.048 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 70.487.752.704 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

.

- - End Of File - - 3166426814A8F7E89607FF2E858C85D0

"Juhu", CPU-Auslastung ist wieder da. Wiederum die System svchost.exe, das hatte ich vergessen zu erwähnen. Laut Task Manager blockiert die so extrem.

hi, machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?

Onlinebanking ja, Einkäufe übers Internet seltener, aber durchaus.

ok, dein onlinebanking muss aufgrund des aktieven tdss rootkits gesperrt werden, falls die bank zu ist, notfall nummer:
116 116
danach müssen wir das system formatieren und neu aufsetzen, da ein rootkit dem angreifer volle kontrolle über das system bietet.
deaktiviere autorun:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
danach sichere wichtige dateien.
dann das system formatieren, windows neu aufsetzen.
falls hilfe nötig, bescheid sagen!
dann zeige ich dir, wie man richtig absichert.
dann passwörter alle endern.

Autsch, dass es ernster ist, dachte ich schon, aber gleich sowas... möchte gar nicht wissen, wo ich mir das geholt habe.

Also steckt das Mistding mitten drin im System, wenn ich mir jetzt die wichtigsten Dateien brenne/rüberziehe, laufe ich nicht in Gefahr, dass ich das noch mitnehme, ja?

Edit:
Okay, so langsam komme ich an meine Grenzen, bei dem Tipparchiv steige ich nicht wirklich durch welche Schritte ich nun alle ausführen muss für Win XP =/

eine der methoden um autorun abzuschalten. nicht alle. eine reicht.
nein die gefahr besteht nicht, wir prüfen die daten aber auf dem neuen system wenns abgesichert ist.

Also reicht es diesen Schritt hier auszuführen?
Ich komm etwas durcheinander, weil das quasi alles ein Text ist und ineinander übergeht...

Zitat:

Über die Registry unter (Start - Ausführen: regedit - [OK] - für Windows 2000 und Windows NT gilt regedt32 statt regedit)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom

kann man bei Windows 2000/XP/2003/Vista/2008/7 den Wert Autorun von 1 auf 0 ändern und schaltet damit radikal Autorun ab.

ja, das kannst zb machen :-)