ja

Dann deinstallier mal das Avast über Systemsteuerung > Software und installier mal das Microsoft Essential Security und aktiviere die Windows Firewall.

Das sollte erstmal für Win XP reichen. Dann nochmal die
Auslastung überprüfen.

Download Microsoft Essential Security:

http://www.microsoft.com/de-de/download/details.aspx?id=5201

Hast Du auch schon einmal Dein System nach Schädlingen untersucht ?

Downloade Dir mal Malewarebytes, update es und führe einen Vollscan durch. Logfile dann posten.

Download Malewarebytes:

http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html

wie aktiviere ich denn die windows firewall? 

Um Windows-Firewall zu aktivieren, gehe folgendermaßen vor:

Klicke auf Start und auf Ausführen, gebe in das Feld Öffnen die Zeichenfolge Firewall.cpl ein, und klicke auf OK.
Klicke auf der Registerkarte Allgemein auf Aktiv (empfohlen).
Klicke auf OK.

beim herunterladen des malware-programm hat sich mein pc aufgehängt. musste stecker ziehen.
neustart hat nicht funktiert musste wieder stecker ziehen.
dann erfolgreicher neustart mit 9min startzeit, mal schaun, ob ich das programm jetzt öffnen kann

habe das malware-programm nach 2std 45min abgebrochen, werde es morgen nochmal starten.
ergebnis bis jetzt:
24.07.2013 22:56:56
MBAM-log-2013-07-25 (01-42-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 189014
Laufzeit: 2 Stunde(n), 44 Minute(n), 42 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP294\A0195869.dll (Adware.BProtector) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\jasmin1\Desktop\blauer usb\weißer stick\Neuer Ordner\Programme\GIMPPortable\App\gtk\lib\pango\1.4.0\modules\pango-tibetan-fc.dll (Trojan.Agent.CPL) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\jasmin1\Eigene Dateien\Downloads\ccleaner.exe (PUP.Adware.Domalq) -> Keine Aktion durchgeführt.

(Ende)

kenne die dateien nicht, wobei ich dazu sagen muss, dass zumindest die unteren beiden wahrscheinlich meiner mitbewohnerin gehören

soll/kann/muss ich die löschen?

Sofort Einträge löschen, da noch keine Aktion durchgeführt wurde.
Neustart durchführen und dies durchführen:

Toolbars und Adware entfernen

Danach wieder Neustart und Malewarebytes nochmals durchführen.
Dann Ergebnisse posten.

100%ig sicher kannst Du aber nicht sein, ob tief im System noch irgendwelche Schadlinge lauern.

100%ig sicher kannst Du aber nicht sein, ob tief im System noch irgendwelche Schadlinge lauern.

kann ich da noch was machen, um sicher zu gehen oder bleibt immer ein restrisiko?


die einträge sind jetzt alle gelöscht- toolbars und adware auch. malwarebytes werde ich über nacht laufen lassen und morgen die ergebnisse posten

Viel Erfolg dafür....

hier das ergebnis des zweiten durchlaufs. habe die beiden gefundenen dateien gelöscht


Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 365709
Laufzeit: 1 Stunde(n), 45 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP296\A0198180.dll (Trojan.Agent.CPL) -> Keine Aktion durchgeführt.

(Ende)

Der erste Eintrag mit:

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter

hängt mit der nichtaktivierten Firewall zusammmen.

Ab in die Quarantäne bzw. löschen, Firewall aktivieren.

Der zweite bösartige Prozess könnte mit Roque Killer beendet werden:

http://www.chip.de/downloads/RogueKiller_49169075.html

Danach nochmal Malwarebytes durchführen.
Hast Du AdwareCleaner auch durchgeführt ?

Sollte dies alles nicht zum Erfolg führen, ist es wohl am Sichersten, wenn Du Dein OS neu aufsetzt, damit alle schädlichen Einträge mal entfernt werden und Du dann ein ganz sauberes System vorfindest.
Davon dann ein Image erstellen auf externem Medium und Du hast dann ernorme Zeitersparnisse im Falle eines Falles.

firewall wird mir als aktiv angezeigt (habe ich dort nachgeschaut, was du mir vorgestern erklärt hast)

adware-cleaner habe ich genutzt

werde mir dann jetzt den roque killer runterladen und starten

Sollte dies alles nicht zum Erfolg führen, ist es wohl am Sichersten, wenn Du Dein OS neu aufsetzt, damit alle schädlichen Einträge mal entfernt werden und Du dann ein ganz sauberes System vorfindest.
Davon dann ein Image erstellen auf externem Medium und Du hast dann ernorme Zeitersparnisse im Falle eines Falles.

  dann hoffe ich mal, dass das erfolgreich ist, von dem letzten was du schreibst, verstehe ich leider nicht viel.

was mir noch aufgefallen ist:
- wenn ich neu starte, wird mir angezeigt, dass ich neue hardware habe und ein assistent zur installation von treibern öffnet sich. da ich nichts neues habe, bin ich erstmal auf abbrechen gegangen. meldet sich aber bei jedem neustart

- unter msconfig und system sollte ich ja alle häkchen außer vom virenprogramm entfernen. ctfmon.exe setzt sich selbst immer wieder (5x probiert) neue haken.

- bei google chrome habe ich eine neue startseite, die sich auch nicht ändert, wenn ich eine andere startseite einstelle: www1.delta-search.com

rogue killer zeigt mir folgendes an:

¤¤¤ Böswillige Prozesse : 0 ¤¤¤

¤¤¤ Registry-Einträge : 1 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> GEFUNDEN

¤¤¤ Geplante Tasks : 2 ¤¤¤
[V1][ROGUE ST] Plus-HD-1.3-firefoxinstaller.job : C:\Programme\Plus-HD-1.3\Plus-HD-1.3-firefoxinstaller.exe - /installxpi /agentregpath='Plus-HD-1.3' /extensionfilepath='C:\Programme\Plus-HD-1.3\31257.xpi' /appid=31257 /srcid='000173' /subid='0' /zdata='0' /bic=824D954AE79944B9A0E6FA78C81DACE6IE /verifier=a77d9010d6be26b280abc818fe1b88a4 /installerversion=1_27_153 /installerfullversion=1.27.153.7 /installationtime=1373993997 /statsdomain=hxxp://stats.datasrvstats.com /errorsdomain=hxxp://errors.datasrvstats.com /waitforbrowser=300 /extensionid=509508ef-0b14-4616-a557-0d58601be33d@c4a581e9-0ea6-46db-a185-58e021ee138c.com /extensionversion=0.91 /prefsbranch=a509508ef0b144616a5570d58601be33dc4a581e90ea646dba18558e021ee138ccom31257 /updateurl=hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/31257.rdf /allusers /allprofiles /externallog='' [7]

• -> GEFUNDEN[V1]

[ROGUE ST] Plus-HD-1.3-chromeinstaller.job : C:\Programme\Plus-HD-1.3\Plus-HD-1.3-chromeinstaller.exe - /installcrx /agentregpath='Plus-HD-1.3' /extensionfilepath='C:\Programme\Plus-HD-1.3\31257.crx' /appid=31257 /srcid='000173' /subid='0' /zdata='0' /bic=824D954AE79944B9A0E6FA78C81DACE6IE /verifier=a77d9010d6be26b280abc818fe1b88a4 /installerversion=1_27_153 /installerfullversion=1.27.153.7 /installationtime=1373993997 /statsdomain=hxxp://stats.datasrvstats.com /errorsdomain=hxxp://errors.datasrvstats.com /waitforbrowser=300 /extensionid=hhlmghjmomaoodfgjeikphfdljhpcpkl /extensionversion=1.23.33 /extensionpublickey=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCkiFzfJnrcFGXgHHHwXJguczOPG3lC2rahFv0pR05x5NxDI2Z8wtXcM0Cxq57bVT3x29N/TCncz9CAmU2FcR27fYjCdK3pf2YX8mFbbAyrayfGFdA6sKn1SDBLzjWKIeYe7CVHEBZEXE8pl4S5nI+cxo5WG6l+lgqwCpez0f7CEQIDAQAB /allusers /allprofiles /externallog='' [7]

• -> GEFUNDEN

¤¤¤ Autostart-Einträge : 0 ¤¤¤

¤¤¤ Web-Browsern : 0 ¤¤¤

¤¤¤ Bestimmte Dateien / Ordner: ¤¤¤

¤¤¤ Treiber : [GELADEN] ¤¤¤
[Address] IRP[IRP_MJ_DEVICE_CONTROL] : atapi.sys -> HOOKED ([Address] \SystemRoot\System32\drivers\sdcplh.sys @ 0xF79E5A08)
[Address] IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([Address] \SystemRoot\System32\drivers\sdcplh.sys @ 0xF79E5684)

¤¤¤ Externe Hives: ¤¤¤

¤¤¤ Infektion :  ¤¤¤

¤¤¤ Hosts-Datei: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1       localhost


¤¤¤ MBR überprüfen: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK1234GSX +++++
--- User ---
[MBR] 8b16fae19d57b0b82614809277927f98
[BSP] 63cc686ee906c724ff3db6a6ea170df6 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114470 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Abgeschlossen : << RKreport[0]_S_07262013_131046.txt >>

und das ergebnis von malwarebytes

26.07.2013 13:28:18
mbam-log-2013-07-26 (13-28-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 316884
Laufzeit: 1 Stunde(n), 21 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

- unter msconfig und system sollte ich ja alle häkchen außer vom virenprogramm entfernen. ctfmon.exe setzt sich selbst immer wieder (5x probiert) neue haken.

ctfmon.exe lässt sich nur durch den ctfmon remover entfernen, sonst trägt sich der unnütze ctfmon wieder automatisch ein:

Download ctfmon.exe hier:

http://www.chip.de/downloads/CTFMON-Remover_29018580.html

und dieses delta search geht so aus Chrome weg:

http://www.deltasearchremoval.com/de/entfernen-delta-search-from-chrome

Das Log von Malewarebytes sieht recht gut aus.

Ein Image ist ein Abbild Deines Systems nach Neuinstallierung wird dieses dann auf eine externe Festplatte installiert und kann in wenigen Minuten nach einem "Befall" auf Deine Systempartition zurückgespielt werden. Aber das kommt z.Zt. bei Dir nicht in Betracht,
da Du nicht neu installiert hast.
Also erst die beiden vorgeschlagenen Tips durchführen.