Malware-Befall. TR/RKIT/BDS

eXodiquas

Hallo Trojaner-Board.

Ich habe seit gestern ein riesiges Problem. Ich habe mir ein Virus eingefangen, das AV unter vielen verschiedenen Namen erkennt, die aber alle mit TR/ , RKIT/ oder BDS/ beginnen.

Der "Befall" verursacht, dass so ziemlich jedes Programm das ich in letzter Zeit gebraucht habe (ausser Steam) nicht mehr startet, bzw während dem Betrieb einfach aufhängt.
z.B. wenn ich WoW starten will, funktioniert das erstmal gar nicht über die Verknüpfung, sondern ich muss erstmal zum Installationsort. Da mach ich einen Doppelklick auf den Icon und nach ca 10 Sekunden beendet sich das Spiel von alleine.
Bei Teamspeak ist es so, dass ich wenn ich das Programm starte und auf einen Server joine zwar zuhören kann, aber wenn ich dann eine Taste drücke, dann kommt eine Fehlermeldung und ich fliege aus TS raus.

Mein System:
Windows XP SP2

Der HJT-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:36:34, on 05.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe
C:\Programme\SweetIM\Messenger\SweetIM.exe
E:\Programme\CyberLink\PowerDVD8\PowerDVD8\PDVD8Serv.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\mozilla.org\SeaMonkey\SeaMonkey.exe
C:\WINDOWS\system32\ctfmon.exe
E:\programme\steam\steam.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\Ariaz\Anwendungsdaten\gadcom\gadcom.exe
C:\Dokumente und Einstellungen\Ariaz\Anwendungsdaten\Twain\Twain.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ycomp/defaults/sb/*http://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [RemoteControl8] e:\Programme\CyberLink\PowerDVD8\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] e:\Programme\CyberLink\PowerDVD8\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [SeaMonkey Quick Launch] "C:\Programme\mozilla.org\SeaMonkey\SeaMonkey.exe" -turbo
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BLASC] "C:\Programme\buffed.de\Blasc\BLASC.exe" silent
O4 - HKCU\..\Run: [Veoh] "E:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [CurseClient] e:\Programme\Curse\CurseClient.exe -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Ariaz] C:\Dokumente und Einstellungen\Ariaz\Ariaz.exe /i
O4 - HKCU\..\Run: [gadcom] "C:\Dokumente und Einstellungen\Ariaz\Anwendungsdaten\gadcom\gadcom.exe" 61A847B5BBF72813349838466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKCU\..\Run: [Twain] C:\Dokumente und Einstellungen\Ariaz\Anwendungsdaten\Twain\Twain.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Startup: Mousometer.lnk = C:\Dokumente und Einstellungen\Ariaz\Desktop\Neuer Ordner\Desktop\mousometer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: 802.11g USB Wireless Network Utility .lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: mcb7uehuj3n8weuhejsw - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\gs73gfidgf.dll
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 7712 bytes


Und alle Meldungen von Antivir, falls die i.wie helfen können:

04.12.2008 18:20 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{E348585B-F55B-44D3-B6E7-7CC99F35AEA1}\RP281\A0130253.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Agent.aldb' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

04.12.2008 18:20 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{E348585B-F55B-44D3-B6E7-7CC99F35AEA1}\RP281\A0130231.dll'
enthielt einen Virus oder unerwünschtes Programm 'BDS/TDSS.acs' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

04.12.2008 18:20 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{E348585B-F55B-44D3-B6E7-7CC99F35AEA1}\RP281\A0130236.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

04.12.2008 18:20 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{E348585B-F55B-44D3-B6E7-7CC99F35AEA1}\RP281\A0130233.dll'
enthielt einen Virus oder unerwünschtes Programm 'BDS/TDSS.adb' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

04.12.2008 18:20 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{E348585B-F55B-44D3-B6E7-7CC99F35AEA1}\RP281\A0130235.sys'
enthielt einen Virus oder unerwünschtes Programm 'RKIT/TDss.G.22' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

04.12.2008 18:20 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{E348585B-F55B-44D3-B6E7-7CC99F35AEA1}\RP281\A0130229.dll'
enthielt einen Virus oder unerwünschtes Programm 'BDS/TDSS.JW' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

04.12.2008 18:20 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{E348585B-F55B-44D3-B6E7-7CC99F35AEA1}\RP281\A0130228.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Agent.qqn' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

04.12.2008 18:14 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und
Einstellungen\Ariaz\Anwendungsdaten\SpeedRunner\SRUninstall.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Agent.aldb' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

04.12.2008 17:52 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und Einstellungen\Ariaz\Lokale
Einstellungen\Temp\TDSSde6d.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Patched.CK.56' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

04.12.2008 17:41 [Scanner] Malware gefunden
Die Datei 'C:\WINDOWS\system32\drivers\Winio17.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.


04.12.2008 17:41 [Scanner] Malware gefunden
Die Datei 'C:\WINDOWS\system32\drivers\TDSSxvmprqoi.sys'
enthielt einen Virus oder unerwünschtes Programm 'RKIT/TDss.G.22' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

04.12.2008 17:39 [Scanner] Malware gefunden
Die Datei 'C:\WINDOWS\system32\TDSSnseqkvrr.dll'
enthielt einen Virus oder unerwünschtes Programm 'BDS/TDSS.adb' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

04.12.2008 17:38 [Scanner] Malware gefunden
Die Datei 'C:\WINDOWS\system32\TDSShqrovvwi.dll'
enthielt einen Virus oder unerwünschtes Programm 'BDS/TDSS.JW' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.


04.12.2008 17:38 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und
Einstellungen\Ariaz\Anwendungsdaten\Microsoft\Windows\gvxcltx.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Agent.qqn' [trojan].
Durchgeführte Aktion(en):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SfKg6wIP.
Die Datei wurde gelöscht.

04.12.2008 17:38 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und
Einstellungen\Ariaz\Anwendungsdaten\SpeedRunner\SpeedRunner.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Agent.alda' [trojan].
Durchgeführte Aktion(en):
Die Datei konnte nicht gelöscht werden!
Systemfehler [32]: Der Prozess kann nicht auf die Datei zugreifen, da sie von
einem anderen Prozess verwendet wird.
Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
Die Datei wurde gelöscht.


04.12.2008 17:37 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und
Einstellungen\Ariaz\Anwendungsdaten\SpeedRunner\SpeedRunner.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Agent.alda' [trojan].
Durchgeführte Aktion(en):


Falls ihr noch etwas essentiellen benötigt, sagt es und ich werde es auftreiben, ich würde nämlich gerne ohne Festplattenformatierung davon kommen.

MfG eXo