Trojaner-Board - Ziemlich viele Funde in kurzer Zeit (Vundo.Gen/Agent.Age)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Ziemlich viele Funde in kurzer Zeit (Vundo.Gen/Agent.Age) (https://www.trojaner-board.de/37998-ziemlich-viele-funde-kurzer-zeit-vundo-gen-agent-age.html)

Ziemlich viele Funde in kurzer Zeit (Vundo.Gen/Agent.Age)

Hallo!
Ich habe seit gestern ein relativ heftiges Trojaner-Problem... ich hatte nacheinander die Viren Vundo.Gen, Agent.Age und noch weitere...
Die infizierten Dateien habe ich gelöscht, nachdem ich mich auf anderen PCs versichert hatte, dass diese dort überhaupt nicht existieren.

Dazu zählten:
mscheck.exe
msmouse.dll
closeapp.exe
hivnxrkt.dll

Alle im System32-Ordner.

Ich habe gelesen, dass der Agent.Age anscheinend neue Malware aus dem Internet zieht und bemerkt, dass immer ungefragt der IE (ich benutze eigentlich Firefox) geöffnet wird und mir Werbung vor die Nase klatscht, ich hätte Viren (was mir natürlich selber klar ist :D )... jedenfalls hat Antivir immer kurz, nachdem ich dieses Zeug geschlossen hatte, einen neuen Virus festgestellt.
Daraufhin habe ich mit ZoneAlarm dem IE einen Internetzugriff verboten... grade eben hat sich aber auf einmal ein neues Tab im Firefox geöffnet, die IP in der Adressleiste war 89.188.16.10. Es wurden ziemlich viele GET-Variablen für PHP übermittelt, glaube ich.
Und da im System Volume irgendwas-Ordner auch Funde waren, habe ich die Systemwiederherstellung ausgeschaltet, neu gestartet, und wieder eingeschaltet...

Aber wegen dieses Tabs, das nach alledem erst kam, bin ich mir recht sicher, dass ich noch irgendwas haben muss (ich habe ja vielleicht auch alles falsch gemacht).

Darum, schlussendlich, mein HijackThis-Log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 14:21:49, on 15.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
D:\WINDOWS\system32\LVCOMSX.EXE
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Logitech\Video\LogiTray.exe
D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
D:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\LClock\lclock.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Conceptworld\QNPlus\QNPlus.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\WINDOWS\System32\alg.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\HiJackThis\HijackThis.exe

O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] D:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] D:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [LClock] D:\Programme\LClock\lclock.exe
O4 - HKCU\..\Run: [QNPlus] D:\Programme\Conceptworld\QNPlus\QNPlus.exe
O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0029DB08-C98B-41F1-A29C-C38A594A79A7}: NameServer = 192.168.123.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FFE4548-2862-4B82-B726-2DCEB44275FD}: NameServer = 192.168.123.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{0029DB08-C98B-41F1-A29C-C38A594A79A7}: NameServer = 192.168.123.254
O17 - HKLM\System\CS3\Services\Tcpip\..\{0029DB08-C98B-41F1-A29C-C38A594A79A7}: NameServer = 192.168.123.254
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - D:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZONELABS\vsmon.exe

Hallo. :)

Dein Hijacklog ist unauffällig und deutet auf keine Schädlinge hin. ;)

Arbeite aber das hier ab:

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

mscheck.exe, msmouse.dll
Ich hab mal nach den beiden gegoogelt. Dabei rauskam das es sich bei den beiden wahrscheinlich um den Troj/Dropper-AM handelt. Ein Trojaner der immer mehr Malware auf den PC lädt. Vielleicht eine Erklärung für die immer wieder auftretenden Funde von Antivir

Apo

Stimmt... VundoFix habe ich gestern schonmal laufen lassen, das hatte auch 3 Dateien gefunden/gelöscht.
Ich habe es eben nochmals laufen lassen und wieder 3 Dateien gefunden/gelöscht...

Und grade während des MWAV-Scans ging wieder ein Firefox-Tab auf. der Link ist:

h**p://89.188.16.10/trafc-2/rfe.php?cmp=wavff_kw&uid=91EC7CC2EAE311DBBE83003048895BFC&nid=ik&guid=2a2616f7+9E9F0150792A47B9A1A52195E1D3CA4D&url=http:%2F%2Fwww.trojaner-board.de%2F37981-escan-anleitung.html&affid=67308&lid=escan%3E
Ich finde es komisch, dass die URL der Anleitung zu eScan da irgendwo hin übertragen zu werden scheint...

edit:
Da im abgesicherten Modus (ohne ZoneAlarm) ging auch der IE wieder auf gerade...

Poste erstmal den Bericht von eScan sowie von diesen Tools zusätzlich:

Silentrunners Logfile

*Lade dir das Tool -> Silentrunners
*Entpacke das Script in einen Ordner deiner Wahl
*Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
*System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
*dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein

F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Hm, eScan scannt aber immernoch, im Moment sehr langsam... ist mittlweile bei 16 angeblichen Viren, die aber zum Großteil mit "not-a-virus:" bezeichnet sind.

Jedenfalls passiert da seit einigen Minuten nix mehr, aber fertig ist es irgendwie auch nicht... Die letzte Meldung über eine gescannte Datei (die wohlgemerkt nicht gelesen werden konnte) ist von vor über 10 Minuten.

Warte erstmal den Scan ab und poste danach den Bericht, dann sehen wir weiter. ;)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sun Apr 15 15:10:47 2007 => Version 9.1.9
Sun Apr 15 15:09:03 2007 => Virus-Datenbank Datum: 4/13/2007
Sun Apr 15 15:10:35 2007 => Virus-Datenbank Datum: 4/15/2007
Sun Apr 15 18:13:46 2007 => Virus-Datenbank Datum: 4/15/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 15 15:11:50 2007 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
Sun Apr 15 15:11:50 2007 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
Sun Apr 15 15:11:59 2007 => System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.
Sun Apr 15 15:11:59 2007 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
Sun Apr 15 15:12:00 2007 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
Sun Apr 15 15:12:07 2007 => System found infected with spylax Corrupted Adware/Spyware (D:\WINDOWS\unvise32.exe)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sun Apr 15 15:10:52 2007 => File D:\WINDOWS\system32\ssqqonn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sun Apr 15 15:11:00 2007 => File D:\WINDOWS\system32\ssqqonn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sun Apr 15 15:11:06 2007 => File D:\WINDOWS\system32\ssqqonn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sun Apr 15 15:13:13 2007 => File D:\WINDOWS\system32\ssqqonn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sun Apr 15 15:16:32 2007 => File D:\DOKUME~1\*****\LOKALE~1\Temp\vtp6_6592.zip/Vista Transformation Pack 6.0.exe//WISE0030.BIN markiert als "not-a-virus:RiskTool.Win32.CloseApp.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sun Apr 15 15:16:55 2007 => File D:\DOKUME~1\*****\LOKALE~1\Temp\Vista Transformation Pack 6.0.exe//WISE0030.BIN markiert als "not-a-virus:RiskTool.Win32.CloseApp.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sun Apr 15 16:19:05 2007 => File C:\Eigene Dateien\Eigene Downloads\ChuzzleSetup-dm.exe markiert als "not-a-virus:AdWare.Win32.Trymedia.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sun Apr 15 16:31:27 2007 => Datei C:\dowload2\mirc617.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen.
Sun Apr 15 16:53:07 2007 => File C:\dowload2\DK_b16.exe//Stream//data0001//UPX markiert als "not-a-virus:AdWare.Win32.Delf.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sun Apr 15 16:58:50 2007 => Datei C:\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen.
Sun Apr 15 17:06:04 2007 => File C:\HiJackThis\backups\backup-20070415-123137-885.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sun Apr 15 17:19:05 2007 => File D:\WINDOWS\system32\ssqqonn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sun Apr 15 17:40:58 2007 => File D:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\vtp6_6592.zip/Vista Transformation Pack 6.0.exe//WISE0030.BIN markiert als "not-a-virus:RiskTool.Win32.CloseApp.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sun Apr 15 17:41:19 2007 => File D:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\Vista Transformation Pack 6.0.exe//WISE0030.BIN markiert als "not-a-virus:RiskTool.Win32.CloseApp.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sun Apr 15 18:09:47 2007 => File D:\VundoFix Backups\awtqn.dll.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Apr 15 15:11:50 2007 => Offending file found: D:\DOKUME~1\*****\LOKALE~1\Temp\war3_install.exe
Sun Apr 15 15:11:50 2007 => Offending file found: D:\DOKUME~1\*****\LOKALE~1\Temp\cmdlineext02.dll
Sun Apr 15 15:11:59 2007 => Offending file found: D:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temp\nsv7.tmp\installoptions.dll
Sun Apr 15 15:11:59 2007 => Offending file found: D:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temp\war3_install.exe
Sun Apr 15 15:12:00 2007 => Offending file found: D:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temp\cmdlineext02.dll
Sun Apr 15 15:12:07 2007 => Offending file found: D:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sun Apr 15 15:12:12 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 15 18:13:46 2007 => Gefundene Viren: 22
Sun Apr 15 18:13:46 2007 => Anzahl Fehler: 156
Sun Apr 15 18:13:46 2007 => Dauer des Scans bisher: 03:02:26
Sun Apr 15 18:13:46 2007 => Gescannte Dateien: 200476
Sun Apr 15 15:10:47 2007 => Specherüberprüfung: Aktiviert
Sun Apr 15 15:10:47 2007 => Registry Überprüfung: Aktiviert
Sun Apr 15 15:10:47 2007 => System-Ordner Überprüfung: Aktiviert
Sun Apr 15 15:10:47 2007 => Überprüfung der Systembereiche: Deaktiviert
Sun Apr 15 15:10:47 2007 => Überprüfung der Dienste: Aktiviert
Sun Apr 15 15:10:47 2007 => Überprüfung der Festplatten: Deaktiviert
Sun Apr 15 15:10:47 2007 => Überprüfung aller Festplatten :Aktiviert

Scheint mir als hättest du dir diesen WhenU - Potentiell unerwünschte Anwendung - Sophos Bedrohungsanalyse
Freund eingefangen.

Apo

@TheGrem

Arbeite das hier durch:

Spyware entfernen

Lade dir diese Tools ->
Ad-Aware SE Personal Edition 1.06 - Freeware - ZDNet.de, Downloads, Utilities, Privacy
FileForum | Spybot Search and Destroy

Lass damit dein System durchlaufen, wenn nötig auch mehrfach!

Zusätzlich auch noch mit diesem Programm nach folgender Anleitung:

Counterspy

Gruß
Sunny

So...

ich habe jetzt Ad-Aware durchlaufen lassen, CounterSpy, die Systemwiederherstellung vorerst dauerhfat ausgeschaltet, VundoFix ein paar mal laufen lassen, alles in meiner AntiVir-Quarantäne gelöscht.

Im Moment findet VundoFix keine infizierten Dateien mehr (vorher gab es bei jedem Systemstart ein Popup von Antivir, oder mehrere) und das ungewollte aufrufen von IE und Firefox hat im Moment auch aufgehört und das System ist halbwegs schnell.
Soll ich trotzdem noch weiterscannen, oder brauche ich das nicht?

[b]/edit:
Ich nehme alles zurück... ist wieder wie vorher, seitdem ich Spybot S&D runtergeladen habe. Den lasse ich jetzt auch immer das Hinzufügen zweier Registrierungsschlüssel verhindern, einer davon heißt "gebxy".