Hallo liebe Leute,

erstmal überhaupt gut, dass jemend da ist zum ausweinen.

Also ich hatte jahrelang Ruhe. Hatte immer brav Antivir upgedated, habe Firewall aktiv. Mein Rechner ist Tag und Nacht online.

Leider hatte ich Besuch und die schaute sich wohl allen möglichen Internetmüll an. Da passierte es:

MDFOLNJH.EXE-26AE9B2F.pf hat einen Fehler und muss geschlossen werden(????????) und das am frühen Morgen und Google redirected ab da nur noch auf Werbemüll.

Das Internet sagt mir: TROJANER(??). Jedes Suchprogramm nennt mir aber andere Namen - die Entfernung mit Antivir nützt mal gar nichts. Alles Entbehrliche habe ich gelöscht (Cookies etc.). Systemwiederherstellung geht nicht mehr. Versuche in abgesicherten Modus zu gehen - Rechner hängt beim booten. Also ohne abgesicheren Modus 2. Versuch mit Malwarebytes. Bringt wieder anderen Namen ->

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1177
Windows 5.1.2600 Service Pack 2

19.09.2008 20:59:46
mbam-log-2008-09-19 (20-59-39).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 41053
Laufzeit: 3 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Antispyware (Rogue.Antispyware) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\RECYCLER\S-1-5-21-1343024091-484763869-854245398-1003\Dc447.tmp (Rogue.EvidenceEliminator) -> No action taken.
C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Temp\GLK3.tmp (Rogue.EvidenceEliminator) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.

Ich drücke auf Eliminieren - weg iss er. Google läuft wieder. Aber mein Rechnerchen hat seinen Character geändert - ist jetzt ab und an langsam und gibt ab und an Töne von sich als ob Antivir was gefunden hat - jedoch ohne zugehörige Meldung von Antivir!!

Ich mache alle Programme aus - mache zur Sicherheit Trendmicro Housecall. WIEDER - aber andere - Trojenaer entfernt. Ich denke mir, mit dem Antivir stimmt was nicht. Mache Neuinstallation - zweiter Versuch klappt - lasse laufen.

Obwohl Nachtruhe war - wieder andere Trojanerfunde:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 20. September 2008 12:59

Es wird nach 1626845 Virenstämmen gesucht.

Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ***

ALLES SONST IST OK

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{2282039C-C6D1-4C9E-8EA8-E1D5357665CE}\RP1616\A0093684.dll
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/UltimateDefender.17920
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4904e28a.qua' verschoben!
C:\System Volume Information\_restore{2282039C-C6D1-4C9E-8EA8-E1D5357665CE}\RP1616\A0093685.dll
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfv
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4904e298.qua' verschoben!
C:\System Volume Information\_restore{2282039C-C6D1-4C9E-8EA8-E1D5357665CE}\RP1616\A0093686.dll
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfw
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4904e29d.qua' verschoben!
C:\System Volume Information\_restore{2282039C-C6D1-4C9E-8EA8-E1D5357665CE}\RP1616\A0093687.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.vbxt
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4904e2a9.qua' verschoben!
C:\System Volume Information\_restore{2282039C-C6D1-4C9E-8EA8-E1D5357665CE}\RP1616\A0093688.sys
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.roc
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4904e2b2.qua' verschoben!



Jetzt bleibt für einen Normaloanwender nur noch eins -vielleicht weis von den Profis jemand, wie ich wieder meine Ruhe und meinen Frieden auf dem Rechner herstellen kann - dazu poste ich den HijackThis Logfile wie folgt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:53, on 20.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (*********)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [AS00_Netgear] C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Check for TWS Updates.lnk = C:\Jts\WiseUpdt.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7066 bytes

Bitte, vielleicht habt Ihr ja eine Idee an was es liegt und was ich machen soll. Ich sage auch "Bitte Bitte"

Dein Logfile ist recht sauber.
Am Neuaufsetzen kommst du wahrscheinlich nicht vorbei!

Gruß

Zitat:

Zitat von Computergeni

Dein Logfile ist recht sauber.
Am Neuaufsetzen kommst du wahrscheinlich nicht vorbei!

Gruß

Ist das Logfile nun sauber oder soll er neuaufsetzen?

@Askay

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier

lg myrtille

Zitat:

Das Internet sagt mir: TROJANER(??). Jedes Suchprogramm nennt mir aber andere Namen - die Entfernung mit Antivir nützt mal gar nichts. Alles Entbehrliche habe ich gelöscht (Cookies etc.). Systemwiederherstellung geht nicht mehr. Versuche in abgesicherten Modus zu gehen - Rechner hängt beim booten. Also ohne abgesicheren Modus 2. Versuch mit Malwarebytes. Bringt wieder anderen Namen ->

Deswegen soll er neu aufsetzen, weil Log mit RSIT sein System schelcht säubern wird und es bringt nichts um den heißen Brei zu reden, also setze dein System bitte neu auf!

Zitat:

Dein Logfile ist recht sauber.
Am Neuaufsetzen kommst du wahrscheinlich nicht vorbei!

Gruß
Ist das Logfile nun sauber oder soll er neuaufsetzen?

Sein Logfile ist recht sauber, also HijackThis konnte den Schädling nicht ausfindig machen, aber aufgrund der tatsache: Das Internet sagt mir: TROJANER(??). Jedes Suchprogramm nennt mir aber andere Namen - die Entfernung mit Antivir nützt mal gar nichts. Alles Entbehrliche habe ich gelöscht (Cookies etc.). Systemwiederherstellung geht nicht mehr. Versuche in abgesicherten Modus zu gehen - Rechner hängt beim booten. Also ohne abgesicheren Modus 2. Versuch mit Malwarebytes. Bringt wieder anderen Namen ->

sollte er neuaufsetzen

Gruß

Zitat:

Deswegen soll er neu aufsetzen, weil Log mit RSIT sein System schelcht säubern wird und es bringt nichts um den heißen Brei zu reden, also setze dein System bitte neu auf!

Genau der Punkt sagt mir, du hast keine Ahnung von jeglicher Art von Malware.

Zitat:

Sein Logfile ist recht sauber, also HijackThis konnte den Schädling nicht ausfindig machen, aber aufgrund der tatsache: Das Internet sagt mir: TROJANER(??). Jedes Suchprogramm nennt mir aber andere Namen - die Entfernung mit Antivir nützt mal gar nichts. Alles Entbehrliche habe ich gelöscht (Cookies etc.). Systemwiederherstellung geht nicht mehr. Versuche in abgesicherten Modus zu gehen - Rechner hängt beim booten. Also ohne abgesicheren Modus 2. Versuch mit Malwarebytes. Bringt wieder anderen Namen ->

sollte er neuaufsetzen

Springst du auch aus dem Fenster, wenn du im Fernsehen ein Feuer siehst?
---
Du stellst die These ohne zu wissen, mit was er infiziert ist.

RSIT zeichnet sich dadurhc aus, dass es KEINERLEI Veränderungen am Rechner vornimmt. Es ist ein reines Analysetool.
Glückwunsch zum Eigentor.

Wenn man deiner Logik folgt, könnten wir das Forum zumachen und stattdessen eine Seite mit "Bitte Neuaufsetzen" stellen.

Wenn du nämlich

Zitat:

Sonst ist dein System ganz sauber

schreibst, scheint das auch nicht zu sitmmen.

Zitat:

RSIT zeichnet sich dadurhc aus, dass es KEINERLEI Veränderungen am Rechner vornimmt. Es ist ein reines Analysetool.
Glückwunsch zum Eigentor.

Troztdem säubert es sein PC nicht

Zitat:

Troztdem säubert es sein PC nicht

DU verstehst es wohl immernoch nicht.
Es ist auch nicht zum Säubern gedacht.

Ja nur zum analysieren ich bin nicht so dumm wie denkst man ich habe wahrscheinlich genau wie du jahrelange PC-Erfahrung und was ist wenn ihr die Ursache des Problems kennt es gibt keine Möglichkeit es 100% zu entfernen! Nauaufsetzen ist sicherer, bequemer!

Gruß

Zitat:

Zitat von Computergeni

Troztdem säubert es sein PC nicht

Wie auch, wenn es KEINE (wie in es tut nichts, macht nichts, verändert nichts, säubert nichts, räumt nichts auf, leert noch nichtmal mehr temp-ordner) Veränderungen vornimmt?

Ist das so schwer zu verstehen?

Wenn jemand ein Buch liest, reg ich mich auch nicht darüber auf, dass er es nicht schreibt...

lg myrtille

NEIN NEIN du kapierst es nicht ich weis dass es gar nichts entfernt , sondenr nur analysiert.

Wenn dir der Schädling durchs Analysieren bekannt wird, was willst du dann machen um ihn wegzukriegen. Ihn löschen oder wie?
Neuaufsetzen ist einfach sichere und bequemer. Kapier das bitte.

Gruß

So, Computergeni, Ich glaube, oder weiss es sogar, dass Silent Shark und Myrtille einiges an Erfahrung mehr haben als du! Dieses Tools analysiert nur, wie mehrfach gesagt.
Der Schädling muss danach gelöscht werden, es ist aber reichlich nützlich zu wissen, was es überhaupt ist, um dann wissen, mit welchem Tool man ansetzt...

Hast du schonmal neu aufgesetzt, für jemanden mit wenig Erfahrung ist es garantiert nicht so bequem und einfach wie du es hier verherrligst!

Desweiteren brauchst du hier niemanden pampig kommen, denn Sachen wie "du kapierst es nicht" gehören hier nicht hin, und treffen eher auf deine Person zu!

Zitat:

Sollte sich nämlich der Verdacht bestätigen, bist nämlich nicht nur Du selbst betroffen, sondern auch unbeteiligte User im Internet. (Spam-Versand etc.

Man kann Malware nicht ohne Neuaufsetzen total eliminieren
Und so schwer ist das Neuaufseten nun aucht nicht, wenn man eine Anleitung die ich gepostet ahbe befolgt!

Zitat:

Man kann Malware nicht ohne Neuaufsetzen total eliminieren

Das glaubst du.

Zitat:

Neuaufsetzen ist einfach sichere und bequemer. Kapier das bitte.

Super, dann können wir ja die Foren schließen und nur noch die Neuaufsetzenanleitung online lassen.

Was du nicht verstehst ist, dass dich hier keiner wegen deiner herrlich antiquierten Einstellungen von chip.de für den Guru halten wird.

Auch Foren leben von einem Mit- und nicht Gegeneinander. Das heißt, dass man als Neuling auch mal ein wenig auf Gepflogenheiten und Regeln im entsprechenden Forum achten sollte und nicht seine Stellung als das einzig Wahr darstellen sollte.
Dass es dich nicht interessiert ob der Rechner überhaupt infiziert ist bevor du ein Neuaufsetzen empfiehlst finde ich jedenfalls beunruhigend.

Das ist hier nicht üblich, wenn du hier helfen willst, dann beachte das bitte.

Ich gehe auch nicht zu chip.de und lache dich aus, weil du den GoogleUpdate-Dienst und einen Registryeintrag (was hast du dir dabei gedacht? ) bei virustotal auswerten lassen willst.
Klar dass bei solchen Methoden ein Neuaufsetzen immer die einzig sichere Variante ist.
Wenn man jedoch etwas Ahnung von dem hat was man tut, sind einige Trojaner und Viren doch deutlich schneller und einfacher zu löschen als ein Neuaufsetzen wäre. Zumal es mittlerweile auch Befälle gibt, die ein Neuaufsetzen überleben.
Aber die Info ist wahrscheinlich bei chip.de noch nicht angekommen, das Rootkit gibt es ja erst seit Januar.