Nach Systemwiederherstellung (Win 7) immer noch Malewarebefall?

Kati-dslr

Hallo zusammen,

ich hoffe ihr könnt mir weiterhelfen. Ich bin mit meinem spärlichen Wissen am Ende.
Folgendes ist geschehen:
Meine Comodo-Firewall frage, ob java.exe ins Internet darf. Das habe ich erlaubt, weil ich dachte java will ein Update. Danach wollte ein unbekanntes Programm ins Netz und die Registry ändern. Das habe ich beides blockiert. Allerdings kam mir das komisch vor, daher habe ich anschließend einen Scan mit Antivir durchgeführt und dabei wurde "EXP/2011-3544.bu.1" gefunden.

Daraufhin habe ich mit einer Antivir Rescue CD (tagesaktuell von einem sauberen System aus geladen und gebrannt) einen Systemcheck machen lassen.
Ergebnis: 2 Funde, siehe Log-Files

Dann habe ich mit der Rescue-CD auch meine externen Festplatten und Sticks geprüft: Keine Funde. Dann mit einer Linux-Live-CD (ubuntu) meine Daten gesichert, per Konsole das MBR der Systemplatte gelöscht bzw. überschrieben und anschließend ein Image der Systemplatte von Ende Januar von einer externen Festplatte wieder aufgespielt. Nach der Wiederherstellung habe ich dann als erstes den Antivir-Virenscanner, die Firewall und Windows 7 aktualisiert.
Kurz später kam dann eine Anfrage der Comodo-Firewall, ob "Setup.exe" ins Internet darf.
Das habe ich blockiert. Als Quellort wurde M:\3516e124c335bdee7f13bb9113ec\Setup.exe angegeben.
Das kam mir sehr merkwürdig vor. M ist bei mir die 2. Festplatte für Daten. Diesen Quellordner gibt es im Explorer aber nicht, auch nicht, wenn man "Versteckte Ordner anzeigen" einstellt.

Daraufhin habe ich nochmal per Antivir Rescue CD überprüft: Ohne Fund.
Kann das immer noch ein Virus sein?
Ich habe den Rechern vorsichtshalber vom Netz getrennt und noch mal das normale Antivir laufen. Auch ohne Funde.
Dann habe ich noch die Programme aswMBR und MBAM durchlaufen lassen.
Ergebnis: siehe Log-Files.

Und unter dem Linux-Live-System habe ich per "find" noch nach autorun-Datein gesucht.
Ergebnis:

ubuntu@ubuntu:~$ find /media/ -iname *torun*
/media/System/Program Files (x86)/Common Files/Adobe/Bridge CS5 Extensions/Adobe Output Module/mediagallery/resources/flashgallery/AUTORUN.inf
/media/System/Users/Kati/AppData/Local/Temp/{8405A2D1-2E7E-42DA-AF2A-7FA8B851E39D}/extracted/autorun.inf
/media/System/Users/Kati/AppData/Local/Temp/PDFCreatorUninstall.txt
/media/System/Windows/winsxs/x86_microsoft-windows-s..ccessagent-binaries_31bf3856ad364e35_6.1.7600.16385_none_de06 b4fbd5b45f78/autorun.inf


Außerdem habe ich mit "Dr.Web CureIt" einen Scann gemacht. Als einziges Ergbenis kam zwischendurch, dass die HOSTS-Datei wohl verändert wurde, was auf einen evtl. Malewarebefall deuten könne. Gleichzeitig hat mir das Programm angeboten die Windows-Default HOSTS-Datei wieder herzustellen. Das habe ich gemacht.

Weiß jemand von euch, was ich noch tun kann? Oder besteht keine Gefahr mehr?
Aber woher kam dann die Setup.exe-Anfrage?

Defogger habe ich gestartet und DDS-Logfiles im Anhang.

Kann mir jemand helfen? Ich weiß echt nicht mehr weiter.

Danke und liebe Grüße

Kati