Uha.exe
 

Hallo Leute,

ich habe ein Problem. Ich habe, als ich auf Wunsch den PC meines besten Freundes mit diverser Antivirussoftware durchsucht habe, eine suspekte Datei entdeckt. Diese heißt "UHA.EXE". Ich habe sie bei VIRUSTOTAL auswerten lassen und bin auf Folgendes gestoßen:

http://www.abload.de/thumb/uha.exevirusnk1.bmp

Trojan.BAT.Teldoor.b - Antivirusprogramm Alias von "Ikarus"

Er sagt, er vermutet, dass es bei einem Programm mitinstalliert wurde, da sie nach meinem Hinweis ihre Prozesse auf Neue überprüft.

Ich bin mir nicht sicher, ob ich die Datei jetzt los bin und noch mehr von dem Programm installiert wurde. Ich frage ihn morgen, ähm heute :crazy: , von welchem Programm die Datei stammt/stammen kann.


MfG RaZoRStoNe

Wer wie was wu wo jetzt?

Du er sie es wir wieder du und ich? Heute, Morgen oder doch heute Morgen? :crazy:

:lach:

Wir Ihr Sie ihm er sie es dudu baba dada? :rolleyes: :juul:

Ähm, ja... Sich erstmal schön negativ auslassen, bevor man hilft (beim Virusproblem...).
Er war bei mir und hat mir das Problem beschrieben, da war ich kurz unten, um etwas zu trinken zu holen und er hat den Thread weiterverfasst...

Naja, wie auch immer. Kennt wer die Datei oder das Packprogramm ?

[QUOTE]Sorry, aber bei der "konvusen" Beschreibung bzw. Satzbau war nicht zu identifizieren, was denn nun gemeint war. Wenn man Hilfe möchte, sollte man zumindest in verständlichen Sätzen schreiben.

[QUOTE=felixx65;277254]Konfus. ;)

OK, aber hast du schonmal von dem Programm gehört ? Soll ich mal meinen HJT-Log posten?

Die UHA.exe ist ein Packtool , Du gucken hier:
WinUHA - UHARC GUI - High Compression Multimedia Archiver mit ein wenig googeln Du währst selber drauf gestoßen.
Zitat:"Er war bei mir und hat mir das Problem beschrieben, da war ich kurz unten, um etwas zu trinken zu holen und er hat den Thread weiterverfasst..."
Das kann nicht gut gehen, hoffe hast keine Freundin sonst könnte Dein Freund auch dort "weitermachen" während Du was zu trinken holen gehst :rolleyes:
Wenn ein Trojaner angemekkert wurde, poste mal ein HJT.

Sonst noch was ? ...

Wie, was? Was sonst noch was? Versteh den Sinn der Frage nicht?
Du fragst konkret und klar, bekommst ein feedback.
Woltest wissen was Deine Uhu.exe bedeutet: Link ist da!
Fragtest ob Du ein HJT machen sollst:Antwort JA.
Was denn noch? Rest wird man sehen was Dein Log ergibt.
Kein Sinn für Ironie? Oder Priese Zucker ober drauf?

Hmm, man müsste echt mal eine Satire-Webseite über deutsche Foren errichten, wie GBO, eben nur ausschließlich Forenantworten:koch: Nagut, es war auch anfangs ein wenig unverständlich. :kloppen:

Naja, also er hat mir erzählt, dass es sich wohl um ein illegal gedownloadetes Programm handelt und, dass er gerade deswegen so skeptisch gegenüber der Datei ist, da ihr Name wirklich suspekt klingt.
Hier sein HJT-Log, den er gerade gemacht hat (er übernachtet heute bei mir und hat seinen Laptop dabei):

Logfile of HijackThis v1.99.1
Scan saved at 00:05:43, on 26.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\ircomm2k.exe
C:\WINDOWS\system32\RemoteControlService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\ASUS\Wireless Console\wcourier.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Ulead Systems\Ulead InstaMedia 2.2\RMC.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Steam\Steam.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://theprogamer1337.th.funpic.de/include.php?path=start.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = No Trace Browsing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Wireless Console] C:\Programme\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [Matchlock Scheduling] C:\Programme\Ulead Systems\Ulead InstaMedia 2.2\Monitor.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [Ulead Remote Control Center] C:\Programme\Ulead Systems\Ulead InstaMedia 2.2\RMC.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AntiVir PE Classic] C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINDOWS\system32\ircomm2k.exe
O23 - Service: ITE Remote Control Service (ITECIRService) - ITE Tech. Inc. - C:\WINDOWS\system32\RemoteControlService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
____________________________________________

Was zumindest mich stutzig macht:

• O11 - Options group: [INTERNATIONAL] International*
• O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
• O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

Nicht immer alles so bierernst sehen, glaub in anderen Foren auch im Ausland schreiben die nicht anders. Hauptsache Du drückst Dich klar aus :rolleyes:

Diesen solltest Du fixen (R0-Eintrag)
[B]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***
Reinige anschl. Deinen Explorer und Temp-Ordner mit clearprog:
ClearProg - Tool von Sven Hoffmann

Geh in den abgesicherten Modus bei deaktivierter Systemherstellung:
Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)
Scanne dann mit Regseeker Download RegSeeker
Spybot Die Seite von Spybot-S&D! &
Adaware Ad-aware - Download alles löschen was die finden.
Dann normal booten und Syst.herst. wieder aktivieren, alle drei Progs nochmal durchlaufen lassen. Anschl e-scan machen (Anleitung hier im Forum).
Deine zuletzt genannten Dateien sind ok:
Der Erste gehört zum Internet Explorer, der Zweite ist dazu da beim Absturz des Systems ein Memorydump zu erstellen und letzterer ist Dein Skype.

Also was Dein Kumpel da illegales treibt, möcht ich auch gar nicht wissen.
Ich würde die Finger von so etwas lassen zumal das auch strafbar sein kann- ok?

Der o.g. Eintrag wird von Spyware gerne geändert, das ist mir klar. Ich habe diesen dann auch entfernt, er wurde dann vom Firefox automatisch auf "about:blank" gesetzt, doch dann habe ich es wieder umgestellt^^

Spybot und AdAware hatte ich schon, den Rest habe ich mir gerade gedownloadet.

Ich hab meinem Freund schon gesagt, dass solche illegalen Downloads nicht selten zu Systemfehlern führen etc..

/€: Das ist übrigens meine Homepage :>

Danke erstmal! Besonders an Mobius07 :)

Ich wüsste nur noch gerne, ob Folgendes einer Infektion entspricht:

In C:\ liegt direkt ein Ordner namens "temp", in dem sich zwei Textdateien befinden:

• DebugTrace-RockallDLL.log
• 
  und
• test.rtf

Inhalt von "DebugTrace-RockallDLL.log":

Inhalt von "test.rtf:

Uhm, *push*, ich hab nur noch diese kleine Frage aus dem Post vor diesem hier offen :aplaus: Danke :)

Du brauchst Dir keine Gedanken zu machen. Deine Einträge sind harmlos!
Der Debugger ist nichts anderes als ein Copy von einer Textdatei in ein anderes Betriebssystem. Vielleicht hast Du irgendwann mal eine Textdatei gesichert und übernommen. Will das jetzt nicht zu ausführlich erklären, aber so kurz und knackig kann man es formulieren.
Ich denke , man kann diesen thread hier schliessen... :)

OK, danke nochmal!

Ich habe mit regedit alle "Software" Einträge nach einem suspekten Eintrag durchsucht, nachdem ich im abgesicherten Modus mit Spybot einen Virus entdeckt habe, den ich vorher nie gefunden habe:

"GrokLoader"

-> "HKEY_USERS\S1-5-21-2828...-76335...-21193...-1005\Software\Softwrap\Adtracker_____"

Ich habe nach jedem Bindestrich nur die ersten Zahlen aufgrund von Datenschutz (evtl. 'n Lizenzschlüssel ?:eek: ) geschrieben.

Ich habe das gesamte "Softwrap"-"Verzeichnis" gelöscht.

Es gehört also zu "Grokster", was ich nie gedownloadet habe!

Sag mal, wonach suchst Du eigentlich ? Willst Du unbedingt was "drauf" haben?
Grokster dürfte nicht mehr Dein Problem werden:
The United States Supreme Court unanimously confirmed
that using this service to trade copyrighted material is illegal.
Copying copyrighted motion picture and music files
using unauthorized peer-to-peer services is illegal and is
prosecuted by copyright owners.
Sprich, datt Dingens gibts nicht mehr, Ende im Gelände.
Hast da vielleicht irgendwelche Reste ausgegraben.

Was willst Du denn jetzt machen? Weiter nach irgendwelchen "suspekten" Dateien suchen ?
Man kanns auch übertreiben....

Also, um ehrlich zu sein:

Ich bekomme morgen bzw. spätestens übermorgen meine TAN(-Liste) von der Bank zugeschickt und möchte sicher vor Keyloggern & Co. sein:kloppen:

Na gut, das klingt plausibel. Schlage Dir vor, Du machst zum Abschluß einfach einen e-scan nach folgender Anleitung:
http://www.trojaner-board.de/38066-e...ightymarc.html (Bring aber ein bisserl Zeit mit, kann mehr als ein Stündli dauern)
Das Ergebnis der sog. "find.bat" postest Du hier. Sollte dieser sauber sein, spricht nichts gegen online-banking (Aber nur über sichere HTTPS-Seiten) und das Thema währe wohl <fürs erste> ad acta....