Trojaner-Board - BKA Trojaner und das normale entfernen funst nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - BKA Trojaner und das normale entfernen funst nicht (https://www.trojaner-board.de/112492-bka-trojaner-normale-entfernen-funst.html)

BKA Trojaner und das normale entfernen funst nicht

Hey liebe mitglieder.
ich hab en dringendes und nerviges problem.

Ich hab seit einigen stunden diesenBKA virus.
normales starten geht ja leider nicht, aber der abgesicherte auch nicht.
mein rechner (win XP) startet den abgesicherten modus und mittendrin bricht er ab und fährt runter.
Das immer und immer wieder.

Die platte mal eben ausbauen und wo anders ransetzten geht bei mir leider nicht und ne CD hab ich auch nicht weil ich den von meinem ex aufsetzten lassen hab dessen vater ne computerfirma hat.

wäre super wenn die hilfe schnell käme.

hi,
schnell wird das wohl nicht werden, du bist hier nicht die einzige, wenn du wirklich nicht warten kannst, musst du in ein pc geschäft gehen und für hilfe dort bezahlen, dann gehts evtl. schneller.
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Oje muss ich nur noch en rohling finden.
Danke für die schnelle antwort.
Ich werd schaun obs klappt. Danke nochmal.

okay ehrlich gesagt hab ich keine ahnung wie ichs draufbrennen soll.
Beim doppelklick auf das programm mache wills änderungen auf dem lappi meines bruders vornehmen.
Und das will ich ja nicht sondern es mit Active iso brennen....

Ohman bin ich ne fluppe

steht doch eig da, die exe laden, dann isoburner instalieren, und die anleitung dazu lesen.

doppelklick auf die OTLPENet.exe
müsste dann isoburner starten.

So nun alles wie gesagt ausprobiert nur es besteht weiter ein schwerwiegendes Problem

Wenn ich den Scanner ausfuehre bleibt er bei einer gewissen xmlprov... datei haengen und laesst sich nur noch mit einem prozess beenden stoppen.

auch das neubooten hat das ganze leider nicht geandert.
Die Datei muesste man irgenwie umgehen, damit er sich nicht daran aufhaengt

So Edit.

Ich habe folgende Dateien auf meinem rechner die man mit diesem Kuerzel bei der suche (was besseres ist mir nun auch nicht eingefallen( gefunden hat.

In einer schoenen blauenschrift wurde mir angezeigt
xmlprov.dll und xmlprovi.dll beide in system32/dllcache

DAnn in normalem schwarz (ich muss zugeben ich habe keinen plan ob die farben was zu bedeuten haben deswegen schreib ichs mal dazu)
xmlprov.dll und xmlprovi.dll in system32
und noch
Xmlproviderargumentbuilder(dollerzeichen) 1.class

meine frage ist ob es moeglich ist die im system32 vorhandenen .dll zeichen einfach zu loeschen (windows kann sich ja zu nem gewissen grad wiederherstellen) und dann den virenscann vorher drueberlaufen zu lassen, das es sich evt. nicht wider aufhaengt oder hat das schwerwiegende konsequenzen

Danke schonmal im vorraus.
Egal obs klappt oder im endefekt nicht wengistens giebts menschen dir mir helfen koenenn und es vorallem wollen, denn ich bin mit meinem latein echt bald am ende.

probieren wirs anders.
starte mal neu, drücke f8 wähle abgesicherter modus mit eingabeaufforderung.
wenn dieser funktioniert, dann erst mal an dem nicht infizierten pc folgendes laden und auf den stick kopieren:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

den stick dann ins infizierte gerät und tippe dort:
d:\combofix.exe
enter
falls das nicht klappt:
e:\combofix.exe
bis du das richtige laufwerk hast.
wenn jetzt ein aktieves antimalware angezeigt wird, mit ok bestätigen.
dann durchlaufen lassen, in den normalen modus starten, log posten bitte.

Momentanes Problem ist das ich keinen stick besitzte.
Ich hatte mal sehr viel Computerzubehoer ect. aber nun hat das alles der ex mitgenommen.

Kann ich das auch auf ne CD-Brennen.
Oder ist das nicht moeglich

Manman man ich komm mir grad vor wie en dummer leihe..

Edit

2 CD laufen zulassen waere bei mir kein problem, da ich zwei laufwerke besitze.

Was mir noch einfaellt
Ich habe CCLeaner auf meinem Rechner, das ich ja mit OTL oeffnen kann, falls das hilft.

edit

Neues problem.
Hab nun den rechner mal so hochgefahren.
soweilt ist alles weg nur ich hab nen komplett weißen Bildschirm
virenschriftzug ist komplett weg nur dieser weiße hintergrund wenn mans so nennen kann ist da und blockiert weiterhin alles.

hi, ne von cd aus geht das leider nicht.
habt ihr evtl. nen pc geschäft in der nähe, mediamarkt zb, da gibts usb sticks teilweise für unter 20 € oder vllt mal bei nem bekannten nett anfragen.
würd auch von ner externen festplatte gehen.

Heute abend bringt mir jemand einen stick mit mit dem ich weiter verfahren kann.

Hatte ja alles mal, betonung liegt auf hatte.

Computergeschaefte haben wir hier leider nicht.
Wohn eher aufm dorf.

Ich werd nacher das ganze mal testen.

Nur meine frage vorher, also bevor wieder alle weg sind
Soll ich den pc normal mit OTL hochfahren und dann vom stick aus lesen oder muss ich vom stick aus booten

Danke schonmal.

ne, otl starten, dann stick rein, und los gehts.

Und schon hab ich en neues Problem.

Beim starten von dem Combofix steht nun immer>
Error opening File for writhing.

Ich habs beim andern rechner draufgeschmissen laufen lassen bis das fenster sich oeffnete und hab es dann auf die externe geschmissen (also die exe denn was anderes gabs auf dem rechner nicht)

was hast du auf dem andern rechner laufen lassen, verstehe deinen letzten satz nicht.
hast du, wie beschrieben, combofix im abgesicherten modus mit eingabeaufforderung laufen lassen?

Nein das geht bei mir leider nicht.

ICh komm nicht mal in den Abgesicherten modus auf meinem rechner rein.
Es passiert nichts.
Der booten neu und fragt mich immer wider neu was er machen soll.
Auf OTL gehts auch nicht da plobt wie beschrieben ja dieser fehler auf.

Am einfachsten waere es glaub ich den irgendwie auf meinem system zu loeschen oder den rechner neu aufzusetzen aber dafuer fehlt mir die noetige windows CD.

Kann man irgendwie sagen wo genau der sitzt und ihn aus dem system loeschen.
Alles vom Virus ist bisher weg, nur die verdammte weisse wand nicht.

der ist nicht weg.
sichere mal über die otl cd deine wichtigen daten wie bilder, dokumente, musik
sag mir wie dein pc heißt, hersteller und typ.

Eher teilehersteller.

Ich hab nen selbstzusammengebauten.

Bilder und co brauch ich ansich nicht sichern beim neuaufsetzen da das system auf ner eigenen patition sitzt.

Motherboard ist ein Asus P5QL Pro mit nem Dual Core 2 processor und 4 gb ram
Netzteil ist ein Bequiet
Grafikkarte ist ein NVIDIA GForce FX 8400gs

Hauptproblem waere fuer mich nur beim aufsetzten, wenn ich einen neuen schluessel brauche.

Ich hab den hier von dem vater meines Ex freundes, der selbst ne computerfirma hatte und daher ne lizens fuer tausende schluessel noch daheim rumfliegen hatte.

Leider fehlt mir auch die noetige CD zum neuaufsetzen sonst wuerd ich mir diesen ganzen aerger einfach erspahren.

na windows 7 kann man ja legal laden, nur ohne schlüssel ists natürlich blöd aufgeschrieben hast du ihn nicht zufällig irgendwo.

Nein. Ich dachte der vater meines ex-freundes hätt alles abgeheftet so hieß es, aber hat er nicht.
hab meinen ex gefragt.

so ein misst.
wär die trennung uach nicht gerade mal 3 wochen her hätt ich mit sicherheit uach kein problem en neues system herzubekommen.

ich guck mal das wir den lizenzschlüssel ausgelesen bekommen.

So hab das problem gefunden.
Die Combofix.exe will wieso auch immer alles uaf der Boot Cd speichern deswegen kann ich das auch nicht laufen lassen.

kann ich das irgendwie umstellen, dass die nicht mehr alles auf der CD speichern will.

Hier ist der angeforderte Combofix log.

Combofix Logfile:

Code:

ComboFix 12-03-31.02 - SASKIA 31.03.2012   8:05.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1373 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\SASKIA\Desktop\ComboFix.exe

AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programme\Internet Explorer\SET2C6.tmp

c:\programme\Internet Explorer\SET2CB.tmp

c:\programme\Internet Explorer\SETE0.tmp

c:\windows\IsUn0407.exe

c:\windows\system32\drivers\etc\hosts.ics

c:\windows\system32\paypal.url

c:\windows\system32\sysdm.exe

c:\windows\system32\WinSys.exe

c:\windows\system32\winx.url

D:\install.exe

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_Security

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-02-28 bis 2012-03-31  ))))))))))))))))))))))))))))))

.

.

2012-03-31 06:10 . 2012-03-31 06:10        16384        ----a-w-        c:\windows\~DF54B4.tmp

2012-03-31 05:49 . 2012-03-31 05:49        --------        d-----w-        c:\programme\Mozilla Firefox 4.0 Beta 8

2012-03-31 05:48 . 2012-03-31 05:48        --------        d-----w-        c:\programme\WiseConvert

2012-03-31 05:40 . 2012-03-31 05:40        16384        ----a-w-        c:\windows\~DF7801.tmp

2012-03-31 05:39 . 2012-03-31 06:10        --------        d-----w-        C:\Dokumente und Einstellungen

2012-03-20 10:52 . 2012-03-26 10:49        --------        d-----w-        c:\programme\Mozilla Maintenance Service

2012-03-02 23:34 . 2012-03-02 23:34        --------        d-----w-        c:\programme\GIMP-2.0

2012-03-02 13:24 . 2012-03-02 13:24        --------        d-----w-        c:\programme\LogMeIn Hamachi

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-02-20 12:28 . 2011-10-04 15:05        98304        ----a-w-        c:\windows\system32CmdLineExt.dll

2012-02-03 09:57 . 2008-04-14 05:23        1860224        ----a-w-        c:\windows\system32\win32k.sys

2012-01-11 19:06 . 2012-02-15 09:19        3072        ------w-        c:\windows\system32\iacenc.dll

2012-01-09 16:20 . 2002-01-01 00:06        139784        ----a-w-        c:\windows\system32\drivers\rdpwd.sys

2012-01-04 00:48 . 2012-01-04 00:48        354176        ----a-w-        c:\windows\system32\DivXControlPanelApplet.cpl

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2011-09-06 20:45        122512        ----a-w-        c:\programme\Alwil Software\Avast5\ashShell.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-10-13 17351304]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]

"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]

"SW20"="c:\windows\system32\sw20.exe" [2006-12-27 208896]

"SW24"="c:\windows\system32\sw24.exe" [2006-12-27 69632]

"WinSys2"="c:\windows\system32\winsys2.exe" [2006-12-27 217088]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]

"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-08-09 221184]

"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]

"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2009-05-21 1501064]

"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2009-05-26 1468296]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]

"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]

"LogMeIn Hamachi Ui"="c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe" [2012-02-28 1987976]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-10-13 17351304]

.

c:\dokumente und einstellungen\SASKIA\Startmenü\Programme\Autostart\

Orbit.lnk - c:\programme\Orbitdownloader\orbitdm.exe [2009-10-21 1719568]

.

c:\dokumente und einstellungen\SASKIA\Startmenü\Programme\Autostart\

Orbit.lnk - c:\programme\Orbitdownloader\orbitdm.exe [2009-10-21 1719568]

.

c:\dokumente und einstellungen\SASKIA\Startmenü\Programme\Autostart\

Orbit.lnk - c:\programme\Orbitdownloader\orbitdm.exe [2009-10-21 1719568]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]

2006-04-20 13:47        323584        ----a-w-        c:\programme\avmwlanstick\FRITZWLANMini.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Version4\\TeamViewer.exe"=

"d:\\Spiele\\Titan Quest Immortal Throne\\Tqit.exe"=

"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=

"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=

"d:\\Spiele\\Anno\\Anno4.exe"=

"d:\\Spiele\\Anno\\tools\\Anno4Web.exe"=

"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=

"d:\\Spiele\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe"=

"d:\\Spiele\\World of Warcraft\\Launcher.exe"=

"d:\\Spiele\\World of Warcraft\\WoW-3.2.0-deDE-downloader.exe"=

"d:\\Spiele\\Warcraft III\\Warcraft III\\Warcraft III.exe"=

"d:\\Zugriff\\WC3 1.21\\war3.exe"=

"c:\\Programme\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=

"c:\\Programme\\Steam\\Steam.exe"=

"c:\\Programme\\Steam\\SteamApps\\common\\alien swarm\\srcds.exe"=

"d:\\Spiele\\Two Worlds\\TwoWorlds.exe"=

"d:\\Spiele\\Two Worlds\\TwoWorlds_RADEON.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=

"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=

"c:\\Programme\\Steam\\SteamApps\\common\\alien swarm\\swarm.exe"=

"c:\\Programme\\Steam\\SteamApps\\common\\painkiller overdose demo\\Bin\\OverdoseDemo.exe"=

"c:\\Programme\\Steam\\SteamApps\\common\\darksiders\\DarksidersPC.exe"=

"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"d:\\Spiele\\Cultures2\\Cultures2.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Windows iLivid Toolbar\\Datamngr\\ToolBar\\dtUser.exe"=

"d:\\Spiele\\Kingdoms Of Amalur\\Kingdoms of Amalur Reckoning\\Reckoning.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung 

"1041:TCP"= 1041:TCP:Akamai NetSession Interface

"5000:UDP"= 5000:UDP:Akamai NetSession Interface

"56195:TCP"= 56195:TCP:Pando Media Booster

"56195:UDP"= 56195:UDP:Pando Media Booster

.

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [16.09.2011 14:10 320856]

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 20:25 12872]

R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 20:41 67656]

R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [19.01.2009 20:31 277544]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [16.09.2011 14:10 20568]

R2 ezGOSvc;Easybits GO Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [14.04.2008 07:53 14336]

R2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [28.02.2012 18:38 1373576]

R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [21.01.2012 03:35 247608]

R2 SVKP;SVKP;c:\windows\system32\SVKP.sys [01.05.2011 17:50 2368]

S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [19.09.2011 18:52 442200]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [30.01.2011 15:30 136176]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [01.01.2002 02:36 1684736]

S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [09.10.2009 15:41 4352]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [04.04.2010 21:39 264704]

S3 fwlanusbn;FRITZ!WLAN N;c:\windows\system32\drivers\fwlanusbn.sys [09.10.2009 15:40 440832]

S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [30.01.2011 15:30 136176]

S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [20.03.2012 12:52 129976]

S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\drivers\ss_bbus.sys [27.12.2011 19:43 98432]

S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\drivers\ss_bmdfl.sys [27.12.2011 19:43 14848]

S3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\drivers\ss_bmdm.sys [27.12.2011 19:43 123648]

S3 ss_bserd;SAMSUNG USB Mobile Logging Driver;c:\windows\system32\drivers\ss_bserd.sys [27.12.2011 19:43 100224]

S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [14.04.2008 07:53 14336]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

WINRM        REG_MULTI_SZ           WINRM

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

ezGOSvc

.

Inhalt des "geplante Tasks" Ordners

.

2012-03-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-30 13:30]

.

2010-04-17 c:\windows\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job

- c:\programme\Microsoft IntelliPoint\ipoint.exe [2009-05-26 19:16]

.

.

------- Zusätzlicher Suchlauf -------

.

mStart Page = about:blank

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.2.1 192.168.2.1

FF - ProfilePath - c:\dokumente und einstellungen\SASKIA\Anwendungsdaten\Mozilla\Firefox\Profiles\wwsp4coy.default\

FF - prefs.js: browser.startup.homepage - google.de

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Toolbar-10 - (no file)

MSConfigStartUp-EADM - c:\programme\Electronic Arts\EADM\EADMUI\EADMUI.exe

MSConfigStartUp-GameXN - c:\dokumente und einstellungen\All Users\Anwendungsdaten\GameXN\GameXNGO.exe

MSConfigStartUp-GameXN (news) - c:\dokumente und einstellungen\All Users\Anwendungsdaten\GameXN\GameXNGO.exe

MSConfigStartUp-GameXN (update) - c:\dokumente und einstellungen\All Users\Anwendungsdaten\GameXN\GameXNGO.exe

AddRemove-Cultures2 - c:\windows\IsUn0407.exe

AddRemove-DivX Plus DirectShow Filters - c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivX7\DivX Plus DirectShow Filters\DivXDSFiltersUninstall.exe

AddRemove-DivX Setup - c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe

AddRemove-Worms2 - c:\windows\IsUn0407.exe

AddRemove-{7585478E9D9B42108671C12F8714CEFE} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivX7\DivX Converter\DivXConverterUninstall.exe

AddRemove-{B13A7C41581B411290FBC0395694E2A9} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivX7\DivX Converter\DivXConverterUninstall.exe

AddRemove-07_Schorl - c:\programme\SAMSUNG\USB Drivers\07_Schorl\Uninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-03-31 08:10

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

"ImagePath"="system32\drivers\

[verify-U]-driver.sys"

.

.

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\[verify-U]_System]

"ImagePath"="system32\drivers\

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]

"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'explorer.exe'(3832)

c:\windows\system32\msi.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Alwil Software\Avast5\AvastSvc.exe

c:\programme\avmwlanstick\WlanNetService.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\RUNDLL32.EXE

c:\progra~1\WI371A~1\Datamngr\DATAMN~1.EXE

c:\programme\Microsoft IntelliType Pro\dpupdchk.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-03-31  15:08:59 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-03-31 13:08

.

Vor Suchlauf: 10 Verzeichnis(se), 19.054.227.456 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 19.121.676.288 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /TUTag=1W96GL /Kernel=TUKernel.exe /usepmtimer

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /TUTag=1W96GL-BAK /usepmtimer

.

- - End Of File - - 96B91823CE519B13FDB6264AA9EAF0CB

--- --- ---

Ps: Ich kann im moment meinen rechner normal nutzen.
Hab mein altes Profil soweit zerstört das er mir ein neues erstellen musste ^.^

hi

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Ja kein thema hab ich schon gemacht.

Hat auch 4 sachen gefunden und gelöscht hab ichs auch gleich.
Waren 2 Trojaner.
Leider finde ich die Log Dateien nicht mehr.
Weder so ein ordner existiert noch was anderes.
Ich lass es gerade nochmal durchlaufen vll findet er ja noch was und poste dann diese logdatei.

Ich hab allerdings im moment das problem das ich immer bei einer neuanmeldung (auch mit einem neuerstellten profil)
diese anzeige bekomme

"Das Profil konnte nicht erfolgreich geladen werden, aber Sie wurden mit dem standardmäßigen Profil für das System angemeldet.

Details - Das System kann die angegebene Datei nicht finden."

Was kann ich denn dagegen tun?
Ich kann auch keine einstellungen groß abspeichern.
Weder einstellungen meines Systems entsprechend, noch von irgendwelchen programmen wie Firefox

So hier ist der Scan
wurde nichts gefunden beim 2. durchgang

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 308108
Time elapsed: 4 minute(s), 33 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

So hier ist der log.
Komischerweise hat er das beim ersten richtigen Komplett durchlauf nicht endeckt.

Malwarebytes Anti-Malware (Test) 1.60.1.1000
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.04.01.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Saskia_2 :: BLUTENGEL-DER-I [Administrator]

Schutz: Aktiviert

01.04.2012 16:39:28
mbam-log-2012-04-01 (16-39-28).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 366932
Laufzeit: 1 Stunde(n), 25 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
Z:\System Volume Information\_restore{D601A2C6-81EF-4020-9AB4-2B78C3C346F4}\RP815\A0270337.exe (PUP.SmsPay.pns) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

dann setzen wir das system jetzt doch neu auf.
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf einen externen Datenträger (USB-Platte): http://www.trojaner-board.de/82533-d...ted-magic.html
Bider, Dokumente, Musik, Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neuinstallieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
Recovery CD oder Recovery Partition?
falls dies ein Fertig-PC ist, nenne Hersteller + Typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Passwoerter hab ich soweit keine drin.
Wie man Formatiert weiss ich aber mir fehlt ja die Windows CD und mein key.

Mitlerweile ists sogar soweit das er nach dem neustart nichtmal mehr meine tastatursprache abspeichert bzw. aendert. Weshalbe ich nun ne englische habe.

Ach verdammte scheisse das ding kotzt mich nur noch an!
Kann man ansonsten gar nichts mehr machen?

aja, sorry
http://www.chip.de/downloads/Windows..._43739197.html
lies mal hiermit deinen windows key aus, schreib ihn dir auf
teile mir mit, ob das geklappt hatt.

Also rausgelesen hab ich ihn, das hat alles wunderbar geklappt.

Muss jetzt nur schaun wo ich ne CD herbekomme.
Wenn er neu aufgesetzt ist sag ich bescheid wie es lief.

oder halt ne xp cd kaufen, bei amazon zb, kosten ja nicht mehr so viel.

Ich hab im moment kaum geld zum leben. Daher kommt kaufen weniger in frage.

alles klar, wird sich ja sicher n xp auftreiben lassen :-)
sagst einfach bescheid und ich erkläre dir dann wie es weiter geht.

Na aufsetzen neu schaff ich schon ;)
ist ja alles so gemacht das ich das system extra auf ner patition hab.
Spätestens jetzt lohnt es sich.

Danke für deine hilfe ^^
Zum aufsetzten komm ich warscheinlich erst ende der woche, aber dann läufts hoffentlich wider.

meld dich dann noch mal wegen der absicherung.