Nach "Security Tools" mega verseucht, tausend PROZESSE und PHISHING

dukems

Hallo,

Hab mir vor wenigen Tagen irgendwas runtergeladen und exe ausgeführt (vorabscans haben nix böses an der exe erkannt....), gleich an der langen ladezeit gecheckt dass es irgendein mist ein muss --> taskmanager, versucht prozesse zu killen, aber dann hatte ich mir schon:

--> SECURITY TOOL <--

eingefangen !
Konnte es via eines Zweitrechners nach der Anleitung hier im Forum (http://www.trojaner-board.de/81432-s...entfernen.html) mit rkill.com und MBAB scheinbar entfernen - das war vorgestern.

Doch nun: ist der Rechner lahm und ich hatte schon den verdacht, dass etwas drauf ist, bei den laufenden Prozessen konnte ich aber nichts auffälliges feststellen.
Nur: immer wenn firefox.exe startet wird verdächtig lange geladen, CPU-Last steigt auffällig und dergleichen.

Spyware-Doctor, Antivir und MBAB --> Alles findet NIX! Hab jetzt aus dem verdacht heraus schon mehrere Scans laufen lassen - nichts, angeblich alles sauber.

Eben hab ich mich mal testhalber bei meinem online-banking eingeloggt und siehe da: Ein phishing-Versuch! Einloggen ging ganz normal, doch als ich zur Kontoübersicht kam werde ich aufgefordert "Aufgrund erhöhter Sicherheitsmaßnahmen müssen Sie folgende TANs eingeben um auf Ihr Konto zugreifen zu können" - jaja, is klar dacht ich mir. Zumindest Gewissheit.

Und nun, seit diesem Meeting und einem darauffolgenden Neustart (weil ich versucht habe einen Prozess abzuschießen, nachdem firefox sich nich mehr schließen ließ) hab ich mehr als doppelt so viele Prozesse laufen als normalerweise.

Hier der HiJackThis-Log:

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\Programme\Avira\AntiVir Desktop\avguard.exe
E:\Programme\Avira\AntiVir Desktop\avshadow.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\rundll32.exe
E:\Programme\Avira\AntiVir Desktop\sched.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\Programme\Spyware Doctor\pctsAuxs.exe
E:\Programme\Spyware Doctor\pctsSvc.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
E:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\Spyware Doctor\pctsTray.exe
E:\WINDOWS\system32\igfxtray.exe
E:\WINDOWS\system32\hkcmd.exe
E:\WINDOWS\system32\igfxpers.exe
E:\WINDOWS\system32\igfxsrvc.exe
E:\Programme\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\System32\alg.exe
E:\Programme\Malwarebytes' Anti-Malware\mbam.exe
E:\WINDOWS\system32\taskmgr.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Dokumente und Einstellungen\xyz\Desktop\HiJackThis.exe
E:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "E:\Programme\Outlook Express\msimn.exe" //mailurl:mailto:hostelge@iol.it
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - E:\Programme\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - E:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - E:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [IgfxTray] E:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] E:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] E:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ISTray] "E:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download All by FlashGet - E:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - E:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - E:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NLS Service (nlsX86cc) - Unknown owner - E:\WINDOWS\system32\NLSSRV32.EXE (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - E:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - E:\Programme\Spyware Doctor\pctsSvc.exe



sqlbrowser.exe, die vielen svchosts, wmiprvse, avshadow usw., alles Quatsch! Da ich immer ein Auge auf meine Prozesse habe weiß ich was da normal so läuft, und sowas gewiss nicht !
Viele Prozesse sind als "LOKALER DIENST" angemeldet, einige sind "NETZWERKDIENSTE", nix davon war da als der PC noch "clean" war.
Ein Prozess der als "SYSTEM" angemeldet ist heißt übrigens einfach "System", den gabs auch nicht vorher.

Also - Ihr seid nun meine letzte Hoffnung, ansonsten bleibt wohl nur noch Formatierus Allus , was einigermaßen ätzend wäre...!!

Danke schonmal !