Hallo.
Ich habe folgendes Problem:

Ich habe mir gestern beim Surfen einen Virus/Trojaner/Malware eingefangen.
Ich arbeite mit Windows XP,SP 3. Firefox ist mein Standard-Browser.
Wollte dann das Problem mit Malware-Bytes beheben; hat er auch getan.
Nur als Malware-Bytes dann neu gestartet hat war nur ein leeres Desktop-Fenster zu sehen. Dann habe ich am Rechner RESET gedrückt und der PC ist wieder normal gebootet und auch mit normalem Desktop. Nur hat dann Malware-Bytes nicht mehr funktioniert; das Programm lies sich nicht mehr öffnen und auch nicht mehr deinstallieren.

Ich sah, dass im Programmordner von Malware-Bytes komische .exe-Dateien waren. Die habe ich dann mit Unlocker freibekommen und den gesamten Malware-Bytes Ordner im abgesicherten Modus gelöscht. (Ich konnte das Programm ja nicht mehr deinstallieren!)
Dann habe ich den CCleaner laufen lassen.

Das Problem ist immer noch da:

Wenn ich auf Google surfe, dauert die Suche bis zum Ergebnis länger und ich werde dann beim Klicken auf Links bzgl. Antiviren-Programmen, Malware etc. auf eine englischsprachige Seite geleitet, die mir Anti-Spyware anbieten will etc. Bevor ich dort hingeleitet werde steht im Browserfenster immer kurz JUMP.
Malware-Bytes und andere Antiviren-Seiten öffnet er gar nicht.
Da kommt dann die Meldung:

Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde.
Die Netzwerkverbindung wurde während des Verbindungsaufbaus unterbrochen. Bitte versuchen Sie es nochmals.

Auch kann ich Malware-Bytes nicht mehr installieren. Auch nicht, wenn ich es von einer gebrannten CD aus versuche.

Kann mir bitte jemand helfen?

Avira habe ich durchlaufen lassen und er hier ist das Log:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 22. Dezember 2008 11:36

Es wird nach 1108505 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: ***
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: ***
Computername: PC-***

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.0.197 1170432 Bytes 07.12.2008 01:27:24
ANTIVIR2.VDF : 7.1.0.250 342528 Bytes 18.12.2008 01:27:26
ANTIVIR3.VDF : 7.1.1.17 123392 Bytes 22.12.2008 10:08:25
Engineversion : 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:56
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 22.12.2008 01:27:32
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 09:41:39
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 22.12.2008 01:27:31
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 22.12.2008 01:27:30
AEHELP.DLL : 8.1.2.0 119159 Bytes 22.12.2008 01:27:28
AEGEN.DLL : 8.1.1.8 323956 Bytes 22.12.2008 01:27:28
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 22.12.2008 01:27:27
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 22. Dezember 2008 11:36

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ekrn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MMERefresh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'egui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S3Trayp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Montag, 22. Dezember 2008 12:18
Benötigte Zeit: 41:51 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

10563 Verzeichnisse wurden überprüft
420453 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
420451 Dateien ohne Befall
1733 Archive wurden durchsucht
2 Warnungen
0 Hinweise


Beim Durchsuchen des RootKits habe ich folgenden Log, (auch wenn man sie in die Quarantäne verschiebt sind die nach erneutem Scan immer noch da):

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 22. Dezember 2008 12:31

Es wird nach 1108505 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: ***
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: ***
Computername: PC-***

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.0.197 1170432 Bytes 07.12.2008 01:27:24
ANTIVIR2.VDF : 7.1.0.250 342528 Bytes 18.12.2008 01:27:26
ANTIVIR3.VDF : 7.1.1.17 123392 Bytes 22.12.2008 10:08:25
Engineversion : 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:56
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 22.12.2008 01:27:32
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 09:41:39
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 22.12.2008 01:27:31
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 22.12.2008 01:27:30
AEHELP.DLL : 8.1.2.0 119159 Bytes 22.12.2008 01:27:28
AEGEN.DLL : 8.1.1.8 323956 Bytes 22.12.2008 01:27:28
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 22.12.2008 01:27:27
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Suche nach Rootkits
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\rootkit.avp
Protokollierung..................: hoch
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen.....: 0x00300922

Beginn des Suchlaufs: Montag, 22. Dezember 2008 12:31

Der Suchlauf nach versteckten Objekten wird begonnen.

tdssoity.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20081222-123100-BE816FB9\AVSCAN-0000000B.dll
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.JW
tdssmhlt.sys
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20081222-123100-BE816FB9\AVSCAN-0000000D.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.G.22
Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\AVSCAN-20081222-123713-0E3E6E5D.avp' geschrieben.
c:\avenger\tdssoity.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c27c4d.qua' verschoben!
c:\windows\system32\drivers\tdssmhlt.sys
[FUND]
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fc81a3e.qua' verschoben!
c:\dokumente und einstellungen\matthias\lokale einstellungen\temp\tdss816.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\dokumente und einstellungen\matthias\lokale einstellungen\temp\tdssf49d.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\dokumente und einstellungen\matthias\lokale einstellungen\temp\tdssf559.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\tdssarxx.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.adb
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\tdsscfbv.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.KD
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\tdsskkai.log
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\tdsslxcp.dll
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\tdssmtve.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\tdssoity.dll
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\tdssvoql.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.acs
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!


Ende des Suchlaufs: Montag, 22. Dezember 2008 12:37
Benötigte Zeit: 06:13 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
12 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
6 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
2 Hinweise
454138 Objekte wurden beim Rootkitscan durchsucht
31 Versteckte Objekte wurden gefunden


Und zu guter Letzt mein Hijack-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:39:56, on 22.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3Trayp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Digidesign\Drivers\MMERefresh.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3Trayp.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Programme\Digidesign\Drivers\MMERefresh.exe
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SIA2006] "C:\Programme\Steganos Internet Anonym 2006\SIA2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SIA2006] "C:\Programme\Steganos Internet Anonym 2006\SIA2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SIA2006] "C:\Programme\Steganos Internet Anonym 2006\SIA2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SIA2006] "C:\Programme\Steganos Internet Anonym 2006\SIA2006.exe" -firstboot (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - h**p://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - h**p://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - h**p://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181482345562
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - h**p://bmm.imgag.com/imgag/cp/install/crusher-de.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Programme\Digidesign\Drivers\MMERefresh.exe
O23 - Service: digiSPTIService - Digidesign, A Division of Avid Technology, Inc. - C:\Programme\Digidesign\Pro Tools\digiSPTIService.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe (file missing)

--
End of file - 8075 bytes



VIELEN DANK SCHON MAL!

Hallo,

Zitat:

420453 Dateien wurden geprüft

Möchtest du alle Dateien des Internets auf deinen Rechner laden?

1. Deinstalliere wahlweise Avira oder NOD32. Niemals mehr als ein Antivirenprogramm installieren.

2. Start => Ausführen => devmgmt.msc eingeben => OK
Menüzeile: Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber
Sollten dort Treiber angezeigt werden, die mit TDS beginnen, die dann deaktivieren => Rechner neustarten

3. Folgende Scans durchführen und jeweils das Log posten. Sollten sich die Programme nicht starten lassen, so benenne sie um.
a. http://www.trojaner-board.de/51187-a...i-malware.html
b. http://www.trojaner-board.de/51871-a...tispyware.html
c. http://www.trojaner-board.de/59299-a...eb-cureit.html

4. ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

5. Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

6. Avira mit diesen Einstellungen laufen lassen und anschliessend das Log posten:
http://www.trojaner-board.de/54192-a...tellungen.html

Tipp: Ein Neuaufsetzen ist schneller und sicherer.

ciao, andreas

So. Habe den TDS Treiber mal deaktiviert und kann jetzt alles wie oben beschrieben machen.
Ich poste dann die Ergebnisse.
Danke erst mal! :aplaus:

Mein Malware-bytes log:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1532
Windows 5.1.2600 Service Pack 3

22.12.2008 19:22:04
mbam-log-2008-12-22 (19-21-56).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 180811
Laufzeit: 46 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\TDSSarxx.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSoity.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSvoql.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\TDSSmhlt.sys (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSS4405.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSS4f82.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSS5493.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSS58d9.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSS5d2e.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSS631a.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSlxcp.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\TDSS3d3f.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\TDSS47c2.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\TDSSf49d.tmp (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\TDSSf559.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\TDSSkkai.log (Trojan.TDSS) -> No action taken.

und mein superanti-spyware log:

SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 12/22/2008 at 08:53 PM

Application Version : 4.23.1006

Core Rules Database Version : 3681
Trace Rules Database Version: 1659

Scan type : Complete Scan
Total Scan Time : 01:18:22

Memory items scanned : 383
Memory threats detected : 0
Registry items scanned : 5859
Registry threats detected : 39
File items scanned : 151925
File threats detected : 1

Trojan.Unknown Origin
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate#NextInstance
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate\0000#Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate\0000#Legacy
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate\0000#ConfigFlags
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate\0000#Class
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate\0000#ClassGUID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate\0000#DeviceDesc

Trojan.DNSChanger-Codec
HKCR\CLSID\E404.e404mgr
HKCR\CLSID\E404.e404mgr#UserId

Rogue.Component/Trace
HKLM\Software\Microsoft\54AB560C
HKLM\Software\Microsoft\54AB560C#54ab560c
HKLM\Software\Microsoft\54AB560C#Version
HKLM\Software\Microsoft\54AB560C#54abfb8c
HKLM\Software\Microsoft\54AB560C#54ab9269
HKU\S-1-5-21-842925246-776561741-725345543-1003\Software\Microsoft\CS41275
HKU\S-1-5-21-842925246-776561741-725345543-1003\Software\Microsoft\FIAS4018

Rootkit.TDSServ
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys#start
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys#type
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys#imagepath
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys#group
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules#TDSSserv
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules#TDSSl
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules#tdssservers
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules#tdssmain
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules#tdsslog
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules#tdssadw
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules#tdssinit
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules#tdssurls
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules#tdsspanels
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules#tdsserrors
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules#TDSSproc
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\Enum
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\Enum#0
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\Enum#Count
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\Enum#NextInstance

Rootkit.TDSServ-Trace
C:\WINDOWS\SYSTEM32\TDSSMTVE.DAT

Avira findet keine Viren mehr. Dr.Web im schnelldurchlauf findet auch nichts mehr.

Hast du bei mbam auch Löschen lassen? Schau nochmal in die Anleitung.

ciao, andreas

bei mbam hab ich auch gelöscht.

zwar nicht gleich nach dem scan mit auf den neustart button
geklickt sondern erst paar min. später,
aber habe auch nach dem super-anti-spyware scan gleich
neugestartet, als er es wollte.


soll ich die dateien in der quarantäne von antivir auch rauslöschen?
da sind noch welche drin.

Weiter mit ComboFix.

Zitat:

soll ich die dateien in der quarantäne von antivir auch rauslöschen?
da sind noch welche drin.

Alles löschen.

ciao, andreas

kann bei combofix was schlimmeres passieren?

Malwarebefall ist bedeutend schlimmer. Wenn du die Reparaturkonsole installierst, kann eigentlich nichts schiefgehen.

ciao, andreas

bedeutet also, dass ich noch nicht alles jetzt runter habe;
weil der virenscanner etc. erkennt ja nichts mehr.
deshalb frage ich...

Tja, wenn du meinst, du weißt es besser als ich, dann stelle ich den Support ein. Sieh doch nur mal was mbam alles gefunden hat und Avira nicht. Ich habe überhaupt keinen Virenscanner, weil ich denen nicht weiter traue, wie ich sie werfen kann.

Sorry aber ich habe keine Lust jede Anweisung zu diskutieren. Deshalb beende ich die Sache. Schau mal in die NUBs. Vielleicht findet sich ja jemand anders, der dazu bereit ist.

bye, andreas

tut mir leid. so war das doch gar nicht gemeint.
war nur eine frage.
sorry nochmals.