Habe anscheinend ähnliche Würmer wie Kollegen. "Windows secuity alert" etc.
Habe SUPERAntiSpyware laufen lassen und der Kollege hat einiges entdeckt.
Hier das entsprechende Log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/10/2008 at 11:03 AM

Application Version : 4.21.1004

Core Rules Database Version : 3561
Trace Rules Database Version: 1549

Scan type : Complete Scan
Total Scan Time : 00:24:42

Memory items scanned : 437
Memory threats detected : 4
Registry items scanned : 5534
Registry threats detected : 67
File items scanned : 45755
File threats detected : 133

Trojan.Vundo-Variant/Small-GEN
C:\WINDOWS\SYSTEM32\SSQPFCBQ.DLL
C:\WINDOWS\SYSTEM32\SSQPFCBQ.DLL

Adware.Vundo Variant/Resident
C:\WINDOWS\SYSTEM32\QOMCATKE.DLL
C:\WINDOWS\SYSTEM32\QOMCATKE.DLL

Adware.Vundo-Variant/J
C:\WINDOWS\DTSEQRXK.DLL
C:\WINDOWS\DTSEQRXK.DLL
C:\WINDOWS\MGXFEBSQ.DLL
C:\WINDOWS\MGXFEBSQ.DLL

Trojan.Unclassified/FQBEWLNA
HKLM\Software\Classes\CLSID\{480473F2-2C60-4CBE-812C-C09F4C7AE483}
HKCR\CLSID\{480473F2-2C60-4CBE-812C-C09F4C7AE483}
HKCR\CLSID\{480473F2-2C60-4CBE-812C-C09F4C7AE483}
HKCR\CLSID\{480473F2-2C60-4CBE-812C-C09F4C7AE483}\InprocServer32
HKCR\CLSID\{480473F2-2C60-4CBE-812C-C09F4C7AE483}\InprocServer32#ThreadingModel
HKCR\CLSID\{480473F2-2C60-4CBE-812C-C09F4C7AE483}\ProgID
HKCR\CLSID\{480473F2-2C60-4CBE-812C-C09F4C7AE483}\Programmable
HKCR\CLSID\{480473F2-2C60-4CBE-812C-C09F4C7AE483}\TypeLib
HKCR\CLSID\{480473F2-2C60-4CBE-812C-C09F4C7AE483}\VersionIndependentProgID
HKCR\fqbewlna.1
HKCR\fqbewlna
HKCR\TypeLib\{BC4A7CE0-FA4C-47DC-842C-436A5BE673D8}
HKCR\TypeLib\{BC4A7CE0-FA4C-47DC-842C-436A5BE673D8}\1.0
HKCR\TypeLib\{BC4A7CE0-FA4C-47DC-842C-436A5BE673D8}\1.0\0
HKCR\TypeLib\{BC4A7CE0-FA4C-47DC-842C-436A5BE673D8}\1.0\0\win32
HKCR\TypeLib\{BC4A7CE0-FA4C-47DC-842C-436A5BE673D8}\1.0\FLAGS
HKCR\TypeLib\{BC4A7CE0-FA4C-47DC-842C-436A5BE673D8}\1.0\HELPDIR
C:\WINDOWS\FQBEWLNA.DLL
HKLM\Software\Microsoft\Internet Explorer\Toolbar#{480473F2-2C60-4CBE-812C-C09F4C7AE483}
HKCR\Interface\{C2701DA9-854D-4C8C-9E80-87A2C3EBD924}
HKCR\Interface\{C2701DA9-854D-4C8C-9E80-87A2C3EBD924}\ProxyStubClsid
HKCR\Interface\{C2701DA9-854D-4C8C-9E80-87A2C3EBD924}\ProxyStubClsid32
HKCR\Interface\{C2701DA9-854D-4C8C-9E80-87A2C3EBD924}\TypeLib
HKCR\Interface\{C2701DA9-854D-4C8C-9E80-87A2C3EBD924}\TypeLib#Version

Trojan.Vundo-Variant/NextGen
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4BB5F3D9-C08A-43BF-A59A-F5A4A1130CFA}
HKCR\CLSID\{4BB5F3D9-C08A-43BF-A59A-F5A4A1130CFA}
HKCR\CLSID\{4BB5F3D9-C08A-43BF-A59A-F5A4A1130CFA}\InprocServer32
HKCR\CLSID\{4BB5F3D9-C08A-43BF-A59A-F5A4A1130CFA}\InprocServer32#ThreadingModel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F22B7E8D-83B6-4369-A6B6-35312541D85F}
HKCR\CLSID\{F22B7E8D-83B6-4369-A6B6-35312541D85F}
HKCR\CLSID\{F22B7E8D-83B6-4369-A6B6-35312541D85F}\InprocServer32
HKCR\CLSID\{F22B7E8D-83B6-4369-A6B6-35312541D85F}\InprocServer32#ThreadingModel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks#{F22B7E8D-83B6-4369-A6B6-35312541D85F}
Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify\ssqPfcBQ

Trojan.Net-MSV/VPS-Variant
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F153B5EF-2158-4FB7-9125-EB012324DFE9}
HKCR\CLSID\{F153B5EF-2158-4FB7-9125-EB012324DFE9}
HKCR\CLSID\{F153B5EF-2158-4FB7-9125-EB012324DFE9}
HKCR\CLSID\{F153B5EF-2158-4FB7-9125-EB012324DFE9}\InprocServer32
HKCR\CLSID\{F153B5EF-2158-4FB7-9125-EB012324DFE9}\InprocServer32#ThreadingModel
HKCR\CLSID\{F153B5EF-2158-4FB7-9125-EB012324DFE9}\ProgID
HKCR\CLSID\{F153B5EF-2158-4FB7-9125-EB012324DFE9}\Programmable
HKCR\CLSID\{F153B5EF-2158-4FB7-9125-EB012324DFE9}\TypeLib
HKCR\CLSID\{F153B5EF-2158-4FB7-9125-EB012324DFE9}\VersionIndependentProgID
HKCR\QXK.Olive
HKCR\TypeLib\{90CF5120-BCC7-4538-B3BC-3066B7A86D2B}
HKCR\TypeLib\{90CF5120-BCC7-4538-B3BC-3066B7A86D2B}\1.0
HKCR\TypeLib\{90CF5120-BCC7-4538-B3BC-3066B7A86D2B}\1.0\0
HKCR\TypeLib\{90CF5120-BCC7-4538-B3BC-3066B7A86D2B}\1.0\0\win32
HKCR\TypeLib\{90CF5120-BCC7-4538-B3BC-3066B7A86D2B}\1.0\FLAGS
HKCR\TypeLib\{90CF5120-BCC7-4538-B3BC-3066B7A86D2B}\1.0\HELPDIR
C:\WINDOWS\VMGSPNTBLVP.DLL
HKCR\Interface\{76237561-FBAE-4CD6-AB0B-81BD48254303}
HKCR\Interface\{76237561-FBAE-4CD6-AB0B-81BD48254303}\ProxyStubClsid
HKCR\Interface\{76237561-FBAE-4CD6-AB0B-81BD48254303}\ProxyStubClsid32
HKCR\Interface\{76237561-FBAE-4CD6-AB0B-81BD48254303}\TypeLib
HKCR\Interface\{76237561-FBAE-4CD6-AB0B-81BD48254303}\TypeLib#Version
HKCR\Interface\{D907403D-9E74-490D-AF79-673273EBA371}
HKCR\Interface\{D907403D-9E74-490D-AF79-673273EBA371}\ProxyStubClsid
HKCR\Interface\{D907403D-9E74-490D-AF79-673273EBA371}\ProxyStubClsid32
HKCR\Interface\{D907403D-9E74-490D-AF79-673273EBA371}\TypeLib
HKCR\Interface\{D907403D-9E74-490D-AF79-673273EBA371}\TypeLib#Version

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\euv\Cookies\euv@adserver.radsport-aktiv[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@indextools[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@de.sitestat[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@adtech[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@de.sitestat[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@clickchecker6[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@www.safewebnavigate2008[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@questionmarket[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@de.pcprivacycleaner[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@www.etracker[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@tradedoubler[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@www.googleadservices[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@scanner.microantivirus2009[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@adserver.ganz-muenchen[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@www.zanox-affiliate[3].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@ads.pointroll[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@banner.testberichte[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@overture[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@de.sitestat[5].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@komtrack[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@ad.boreus[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@serving-sys[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@de.sitestat[3].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@hbxtracking.sueddeutsche[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@count.xhit[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@media-shop[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@e-2dj6wfkoclazmlo.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@CALUO1OK.txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@CARL3QCJ.txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@a6.adserver01[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@track.webtrekk[3].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@pcprivacycleaner[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@webmasterplan[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@www.highfi-stats[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@toplist[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@CAYL2AW9.txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@teenpayperminute[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@www.googleadservices[11].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@indexstats[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@www.googleadservices[6].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@CAE72EWJ.txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@ads.gpi-ads[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@www.googleadservices[10].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@www.system-defender[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@ads.sun[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@smartadserver[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@traffic.mpnrs[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@ad.adfill[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@trackmatics[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@gomyhit[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@paypal.112.2o7[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@CACFQCCS.txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@tto2.traffictrack[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@www.googleadservices[7].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@wmvmedialease[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@e-2dj6wfkokoc5kgq.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@media6degrees[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@e-2dj6wgl4qjcjmhp.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@uk.sitestat[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@de2.komtrack[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@CANP1EO4.txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@CAEJ9AP8.txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@roitracking[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@allesklarcomag.112.2o7[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@ads.crossworxs[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@adtrafficstats[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@e-2dj6wflosmd5ggo.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@ads.1a-infosysteme[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@lenovo.112.2o7[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@CASBY9IK.txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@ad.adnet[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@CAFLRK5O.txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@eduardstrailerfactory.112.2o7[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@CAKJI0WV.txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@sexmituns.crazypaarbln[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@data.coremetrics[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@insightexpressai[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@estat[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@adtrafficdriver[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@CATIR9KH.txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@www.googleadservices[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@www.media-shop[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@exoclick[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@ad.taz[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@ad.yn-ads[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@CAT2RV8S.txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@www.googleadservices[9].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@e-2dj6wjlywjczeco.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@doubleclick[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@stat.dealtime[2].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@stepstone.112.2o7[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@virusremover2008[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@gomyhit[3].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@e-2dj6wjkyqgczagq.stats.esomniture[1].txt
C:\Dokumente und Einstellungen\euv\Cookies\euv@www.googleadservices[3].txt

Browser Hijacker.Internet Explorer Settings Hijack
HKU\S-1-5-21-3360206467-3068152378-1144033182-1005\Software\Microsoft\Internet Explorer\Main#Start Page [ http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 ]

Trojan.Media-Codec
C:\Programme\PCHealthCenter\Thumbs.db
C:\Programme\PCHealthCenter

Desktop Hijacker.AboutYourPrivacy
C:\Dokumente und Einstellungen\euv\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\euv\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\euv\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\euv\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\euv\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\euv\Favoriten\Spyware&Malware Protection.url

Trojan.Net-MU/Gen
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo#uninstallString

Adware.Vundo Variant/Rel
HKLM\SOFTWARE\Microsoft\aoprndtws
HKLM\SOFTWARE\Microsoft\FCOVM
HKLM\SOFTWARE\Microsoft\RemoveRP
HKU\S-1-5-21-3360206467-3068152378-1144033182-1005\Software\Microsoft\rdfa
C:\WINDOWS\SYSTEM32\MCRH.TMP

Rogue.AntiVirus 2009/Installer
C:\DOKUMENTE UND EINSTELLUNGEN\EUV\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\TID5YF7W\AV2009INSTALL_77052209[1].EXE
C:\DOKUMENTE UND EINSTELLUNGEN\EUV\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\TID5YF7W\AV2009INSTALL_77052209[2].EXE
C:\DOKUMENTE UND EINSTELLUNGEN\EUV\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\TID5YF7W\AV2009INSTALL_77052209[3].EXE

Rogue.Dropper/Gen
C:\RECYCLER\S-1-5-21-3360206467-3068152378-1144033182-1005\DC38.EXE

Trojan.Unknown Origin
C:\RECYCLER\S-1-5-21-3360206467-3068152378-1144033182-1005\DC40.ICO
C:\RECYCLER\S-1-5-21-3360206467-3068152378-1144033182-1005\DC42.ICO

Trojan.Vundo-Variant/Small
C:\WINDOWS\SYSTEM32\XXYYAYSI.DLL


Ich freue mich schon auf die Hilfe, da es im Moment eine wirkliche Qual ist, auf dem PC zu arbeiten.

Grüße
Placido

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.