Hallo an alle,

ich bin neu hier und suche Hilfe. Habe etwas heruntergeladen und mein avast! (Version 4.8 Home Edition) hat einen Trojaner gefunden, der so heißt, wie ich das Thema genannt habe. Das Programm hat empfohlen, ihn in einen Container zu verschieden, was jedoch nicht geklappt hat, weil eine Fehlermerldung kam. Die hätte ich mir aufschreiben sollen, ich weiß sie leider nicht mehr. Dann hab ich versucht den Trojaner zu löschen, hat mir aber Avast auch nicht gemacht, und verschoben hat er den auch nicht.
Ich habe bereits gegoogelt und bin auf dieses Forum gestoßen. Da wurde HijackThis empfohlen, was ich sogleich ausprobiert habe. Hier der Log dazu. Den Rest, der in diesem Beitrag stand, hab ich leider nicht verstanden, hatte noch nie mit sowas zu tun und kenn mich allgemein nicht so gut aus
Wie kann ich denn im abgesichterten Modus starten? Sorry für die blöden Fragen ...



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:53:29, on 22.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Babylon\Babylon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HPQ\shared\hpqwmi.exe
C:\Programme\eMule.de 0.46c v17\emule.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Alwil Software\Avast4\ashLogV.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Drea\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.shadowlights.at.tf/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 70.86.83.53 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [WatcherHelper] "C:\Programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [BLASC] "C:\Programme\buffed\BLASC.exe" silent
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-AT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{61CC6D52-0A2D-4819-9F1A-913292630059}: NameServer = 192.168.1.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{B44DDF1F-3AF6-4B79-9CD0-FFA42D58AF38}: NameServer = 192.168.1.254
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\shared\hpqwmi.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe



Ich bin total dankbar für eure Hilfe!

LG Andrea

Hallo Drea

In den Abgesicherten Modus kommst du wenn du während des hochfahrensmehrmals auf F8 drückst

Lade dir bitte Malwarebytes und CCleaner herunter und führe es laut Anleitung aus

Poste mir bitte,WO Avast den Trojaner gefunden hat

Nächster Post
File MBAM
File SuperAntispyware
Fund von Avast(wenn möglich)

Vielen Dank für die Antwort,

ich habe Malwarebytes im abgesicherten Modus laufen lassen. Das ist der Log dazu:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1792
Windows 5.1.2600 Service Pack 2

22.02.2009 18:33:09
mbam-log-2009-02-22 (18-33-09).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 111737
Laufzeit: 58 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Habe vorher jedoch Avast! im normalen Modus nochmals laufen lassen, wobei er 2 infizierte Objekte gefunden hat. Diese hab ich, wie vom Programm empfohlen, in Quarantäne gesteckt (oder wie das heißt).

Als erstes hat Avast! den Trojaner hier gefunden (also gestern Nacht):

22.02.2009 01:47:14 Drea 1928 Sign of "Win32:Adware-gen [Adw]" has been found in "C:\Programme\eMule.de 0.46c v17\Incoming\Download Die W****** securely with new Secured Browser.zip\SecuredeIE_CL_SE_DW_0801.EXE\[Embedded_R#001280]\%MAINDIR%\setup.exe\IgfxSys.dll" file.

Als ich das Virenprogramm heute durchlaufen ließ, fand er folgende 2 Objekte:

22.02.2009 11:57:04 Drea 1196 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\WR-1-2~1.EXE" file.

und

22.02.2009 12:11:08 Drea 1196 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{DFA1E99A-80EE-4E68-B062-4A1313F811EC}\RP475\A0075718.EXE" file.


Leider weiß ich nicht was du mit "File SuperAntispyware" meinst *rotwerd*
Den CCleaner vielleicht? Den hab ich auch laufen lassen, hat über 100 Mb gelöscht. Aber ich habe nicht herausgefunden, wie ich da ein File posten kann.

Hab Avast! nun nochmals laufen lassen, nun findet das Programm nichts mehr.

Ich hoffe ich habe alles richtig gemacht. Die Anleitungen hier sind sehr übersichtlich, sodass man eigentlich gar nichts falsch machen kann und sogar als Laie das durchführen kann. Dennoch bleibt natürlich eine Unsicherheit, ob ich alles richtig gemacht hab

Liebe Grüße
Andrea

Hallo Andrea

Zitat:

22.02.2009 01:47:14 Drea 1928 Sign of "Win32:Adware-gen [Adw]" has been found in "C:\Programme\eMule.de

Ich gebe dir jetzt einen Rat was du dir zu Herzen nehmen solltest:

eMule ist ein P2P Programm was dich eventuell zu Illegalen Handlungen verleitet
Die Daten von dort sind meistens verseucht.Auch wenn du es vielleicht schon länger ohne Probleme verwendest,rate ich dir im eigenem Ermessen davon ab.Malware wird leider nicht weniger und immer mehr Rechner sind verseucht.
Deinstallier bitte eMule

Sorry Link vergessen
SuperAntiSpyware nach Anleitung verwenden

Danach bitte
Deaktivier dein AntiVir Programm
Dein System Online Scannen lassen bei F-Secure
Unbedingt mit IE ins netz gehen
Active X erlauben
Auf Vollständigen Scan umstellen
Bei Funde--->Automatisch bereinigen--->Berichte zeigen-->Auswertung auf dem Desktop speichern

Beide Logfiles posten

Hallo,

danke für deinen Rat.

Hier nun der Bericht von SuperAntiSpyware:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/22/2009 at 08:27 PM

Application Version : 4.25.1012

Core Rules Database Version : 3769
Trace Rules Database Version: 1729

Scan type : Complete Scan
Total Scan Time : 00:35:54

Memory items scanned : 498
Memory threats detected : 0
Registry items scanned : 4654
Registry threats detected : 0
File items scanned : 40495
File threats detected : 128

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Drea\Cookies\drea@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@doubleclick[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adtech[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.incentaclick[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@server.iad.liveperson[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@eas.apm.emediate[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.justlanded[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@overture[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@clicktorrent[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@tribalfusion[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.oe24[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adbrite[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@incentaclick[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@int.sitestat[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@komtrack[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adrevolver[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@fastclick[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@pacificpoker[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.revsci[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@bp.specificclick[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@zbox.zanox[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.clicksor[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.adreactor[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@media.adrevolver[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@euros4click[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@imrworldwide[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.httpool[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@tacoda[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@track.adform[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@tracking.weinwelt[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@atwola[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@de.sitestat[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@server.cpmstar[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@videoegg.adbureau[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@clickbank[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adsrv.admediate[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.gratis-counter[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@rotator.adjuggler[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@wunderloop.zanox[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@sales.liveperson[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@servedby.adxpower[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.adshopping[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@zanox[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.googleadservices[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@de2.komtrack[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ehg-upcchellomedia.hitbox[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.krawall[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.quartermedia[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad2.websingles[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@bertelsmann.122.2o7[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.advertisingbox[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.trafficrank[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@apm.emediate[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@e-2dj6wjmiaoczeeo.stats.esomniture[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.mmoga[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@traffictrack[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads2.net2day[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ssl-cdn.euroclick[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.addynamix[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.net2day[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@server01.agmedia[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@estat[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.salebroker[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@axelspringer.122.2o7[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@specificclick[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.xboxdynasty[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@de.sitestat[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@247realmedia[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.oneview[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@lstat.youku[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.adition[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads4.net2day[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.pointroll[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@cgm.adbureau[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@socialmedia[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@rambler[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads3.net2day[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@arcor.122.2o7[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.71i[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ehg-yvesrocher.hitbox[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@account.live[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@stepstone.112.2o7[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads3.exp[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@livestat.derstandard[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.socialtrack[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserv-new.20six[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@tele2.112.2o7[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.toptarif[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@e-2dj6wfkiupdpmdp.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@iacas.adbureau[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@passende-gedichte-finden[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@eqtracking[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adlegend[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@eas4.emediate[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@stat.youku[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@test.coremetrics[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.websingles[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@toplist[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@bluestreak[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ssl4stats[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.fmxoffice[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@apodiscounter[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@stat.aldi[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@e-2dj6wgk4glczehp.stats.esomniture[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@de.sitestat[3].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@msnaccountservices.112.2o7[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.etracker[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@media.gan-online[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@s4.trafficmaxx[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.bittorrent[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adbureau[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@myroitracking[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@sales.liveperson[3].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@xiti[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@de.sitestat[4].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ehg-tvtv.hitbox[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@banner.testberichte[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@content.yieldmanager.edgesuite[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.unitedcolo[1].txt




Und nun von F-Secure:

Scanning Report
Sunday, February 22, 2009 20:39:54 - 21:12:36
Computer name: PAVILION
Scanning type: Scan system for malware, rootkits
Target: C:\


--------------------------------------------------------------------------------

Result: 5 malware found
TrackingCookie.Adtech (spyware)
System
TrackingCookie.Advertising (spyware)
System
TrackingCookie.Atdmt (spyware)
System
TrackingCookie.Doubleclick (spyware)
System
TrackingCookie.Webtrends (spyware)
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 18286
System: 4142
Not scanned: 6
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 5
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 3.0.0
F-Secure Hydra: 3.6.8511, 2009-02-22
F-Secure AVP: 7.0.171, 2009-02-21
F-Secure Pegasus: 1.20.0, 1970-00-01
F-Secure Blacklight: 0.0.0
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics



Ich hätte noch eine Frage ... was macht das "Ding" eigentlich, das ich mir eingefangen hab? Wobei mich bei der Antwort vor allem interessiert, ob ich nun meine Passwörter ändern muss? Kann der Trojaner oder was auch immer das war meine Passwörter einsehen? Bis auf Windows Messenger und Skype habe ich keine gespeichterten Passwörter auf meinem Computer. Und ich war auch darauf bedacht, so wenig Programme als möglich zu öffnen, solange ich dieses Problem nicht behoben hab. Bis jetzt habe ich das Passwort beim Windows Login eingegeben, habe Outlook geöffnet und hier auf dieser Seite natürlich das Passwort eingegeben.

Grüße
Andrea

Sieht so aus als hätte sich da was in die Systemwiederherstellung genistet

Deaktivier die Systemwiederherstellung

Schliesse den USB Stick an
Lade dir ComboFix von bleepingComputer.com
Speicher es auf deinem Desktop
Bitte nicht die Maus während Combofix läuft bewegen oder etwas anklicken. Dies könnte Combofix zum Absturz bringen
Starte nun combofix.exe
Lese dir nun die Warnmeldung und Disclaimer genau durch-->mit Ja bestätigen
Es öffnet sich ein blaues Fenster
Schreibe 1-->enter
Nun musst du einen Systemwiederherstellungspunkt erstellen-->Folge dazu genau den Anweisungen
der Scan folgt
Das log wird unter combofix.txt erscheinen
Alles markieren-->strg+C-->und mit strg+v in den Thread einfügen