Trojaner-Board - Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig... (https://www.trojaner-board.de/85499-trojaner-gehabt-system-sauber-ie-oeffnet-selbstaendig.html)

Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...

Hallo,
erstmal vielen Dank, dass es dieses Forum gibt. Es hat mir in den letzten Tagen bereits viel geholfen, als mein PC von Trojanern befallen war.
Ich glaube, dass ich mein System so langsam wieder sauber habe, traue dem Braten aber nicht und wüsste gerne, wie ich Gewissheit erlangen kann. Eine Neuinstallation, die ich sonst übers Wochenende machen würde, möchte ich nämlich vermeiden.
Das einzige, was im Augenblick nicht ganz normal läuft, ist der IE, der gerne mal selbständig irgendwelche Fenster öffnet (meist mit irgendwelchen Casino-Seiten).

Kann mir jemand helfen bei der Systemkontrolle? Danke

Gruß,
Gleumes

Hallo und :hallo:

Zitat:

Ich glaube, dass ich mein System so langsam wieder sauber habe,

Poste bitte alle schon vorher erstellten Logfiles von den Tools, die Du benutzt hast.

Danach einen Vollscan mit aktuellem malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo Arne,
danke für die schnelle Antwort.
Dann mache ich mich mal an die Arbeit, wobei ich zugeben muss, dass ich in meiner Verzweiflung immer wieder Dinge wiederholt habe, teilweise auch durcheinander. Aber in der Reihenfolge der Zeitstempel habe ich folgende Logfiles:

Malwarebytes' Anti-Malware

26.04. - 14.22

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3930

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 14:22:42
mbam-log-2010-04-26 (14-22-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 26285
Laufzeit: 55 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{a9722a0d-365f-47d2-b70b-37d046316d99} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\woryugjxwujbp (Adware.Adrotator) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Mozilla Firefox\components\ffxShot.dll (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\woryugjxwujbp.exe (Adware.Adrotator) -> Quarantined and deleted successfully.

26.04. - 14.37

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3930

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 14:37:39
mbam-log-2010-04-26 (14-37-39).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 1
Laufzeit: 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

26.04. - 15.05

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3930

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 15:05:51
mbam-log-2010-04-26 (15-05-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 138753
Laufzeit: 13 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 17
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 8
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{4153c57d-8773-4e67-d02c-c789e2344593} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{751908aa-98ce-48e9-92ca-c0b42a19412c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adhlpr.adhlpr (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adhlpr.adhlpr.1.0 (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4153c57d-8773-4e67-d02c-c789e2344593} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{751908aa-98ce-48e9-92ca-c0b42a19412c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ezlife (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kxzpocsssbsmbnlgt (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsdefrag (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ave.exe" /START "C:\Programme\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Programme\Smart-Ads-Solutions\SmartAds (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Programme\Smart-Ads-Solutions\SmartAds\1.5.2.0 (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Programme\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
C:\Programme\ezLife\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
C:\Programme\ezLife\ezLife\1.5.2.0 (Adware.EzLife) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Anwendungsdaten\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Anwendungsdaten\Smart-Ads-Solutions\SmartAds (Adware.SmartAds) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Mozilla Firefox\components\nsFFxSHot.xpt (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Programme\Smart-Ads-Solutions\SmartAds\1.5.2.0\uninstall.exe (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Programme\ezLife\ezLife\1.5.2.0\uninstall.exe (Adware.EzLife) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\keqipwpvtteqknp.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\qmqwjknu.dll (Trojan.BHO) -> Delete on reboot.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
D:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\arecwonsxm.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Startmenü\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

26.04. - 17.56

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4037

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 17:56:55
mbam-log-2010-04-26 (17-56-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 258460
Laufzeit: 2 Stunde(n), 11 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
C:\WINDOWS\Aduroa.exe (Trojan.Fraudpack) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qzaib7kitk (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87sdhfush87fsufhuie3fddf (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\newupdate1142c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Aduroa.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\228.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\stp942c5.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\zx89xka.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1C2NEZRN\stp942c5[1].exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1C2NEZRN\oriqbjdp[1].htm (Trojan.Ertfor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NBVZYED7\newupdate1142C[1].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

26.04. - 17-56

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4037

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 18:16:30
mbam-log-2010-04-26 (18-16-30).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 143175
Laufzeit: 12 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

[Fortsetzung folgt...]

weiter gehts...

Malwarebytes' Anti-Malware

27.04. - 18.16

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4037

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.04.2010 18:16:38
mbam-log-2010-04-27 (18-16-38).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 143420
Laufzeit: 15 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

28.04.2010

14.35 Uhr - IObit Security 360

IObit Security 360

OS:Windows XP
Version:1.4.1.11
Define Version:1298
Time Elapsed:00:05:05
Objects Scanned:50718
Threats Found:82

|Name|Type|Description|ID|
Tracking Cookies - Removed, Cookies, Cookie:***@adtech.de/, 7-1622
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/pm/muenchen-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/ing-diba/de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@fastclick.net/, 7-1402
Tracking Cookies - Removed, Cookies, Cookie:***@www.burstnet.com/, 7-1698
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1066386531/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@tribalfusion.com/, 7-8
Tracking Cookies - Removed, Cookies, Cookie:***@content.yieldmanager.com/, 7-1540
Tracking Cookies - Removed, Cookies, Cookie:***@heias.com/, 7-1865
Tracking Cookies - Removed, Cookies, Cookie:***@atdmt.com/, 7-1543
Tracking Cookies - Removed, Cookies, Cookie:***@com.com/, 7-9
Tracking Cookies - Removed, Cookies, Cookie:***@nl.sitestat.com/vvk/kvk/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@livejasmin.com/, 7-1946
Tracking Cookies - Removed, Cookies, Cookie:***@advertising.com/, 7-13
Tracking Cookies - Removed, Cookies, Cookie:***@cybermonitor.com/, 7-1767
Tracking Cookies - Removed, Cookies, Cookie:***@statse.webtrendslive.com/, 7-1547
Tracking Cookies - Removed, Cookies, Cookie:***@smartadserver.com/, 7-1611
Tracking Cookies - Removed, Cookies, Cookie:***@apmebf.com/, 7-1646
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1053935835/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/sport1/sport1-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@adverserve.net/, 7-1628
Tracking Cookies - Removed, Cookies, Cookie:***@msnportal.112.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@freenet.de/, 7-1
Tracking Cookies - Removed, Cookies, Cookie:***@mediaplex.com/, 7-1564
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/karstadt-de/karstadt/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@quantserve.com/, 7-2075
Tracking Cookies - Removed, Cookies, Cookie:***@doubleclick.net/, 7-1380
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/karstadt-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1036361766/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@int.sitestat.com/brother/brother-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@loc1.hitsprocessor.com/, 7-1871
Tracking Cookies - Removed, Cookies, Cookie:***@audiag.112.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@med-update.com/, 7-1773
Tracking Cookies - Removed, Cookies, Cookie:***@burstnet.com/, 7-1698
Tracking Cookies - Removed, Cookies, Cookie:***@int.sitestat.com/brother/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/idgcom-de/pcwelt/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@cdn5.specificclick.net/, 7-1522
Tracking Cookies - Removed, Cookies, Cookie:***@www.windowsmedia.com/, 7-2231
Tracking Cookies - Removed, Cookies, Cookie:***@int.sitestat.com/panasonic/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@ad.yieldmanager.com/, 7-1540
Tracking Cookies - Removed, Cookies, Cookie:***@edge.ru4.com/, 7-12
Tracking Cookies - Removed, Cookies, Cookie:***@xiti.com/, 7-2259
Tracking Cookies - Removed, Cookies, Cookie:***@ww251.smartadserver.com/, 7-1611
Tracking Cookies - Removed, Cookies, Cookie:***@tradedoubler.com/, 7-2158
Tracking Cookies - Removed, Cookies, Cookie:***@m1.webstats.motigo.com/, 7-1853
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/frankfurt/de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@statcounter.com/, 7-1545
Tracking Cookies - Removed, Cookies, Cookie:***@m.webtrends.com/, 7-2222
Tracking Cookies - Removed, Cookies, Cookie:***@guj.122.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/sport1/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/sport1/tvdsf-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1066681220/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@axelspringer.122.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@specificclick.net/, 7-1522
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/hk/stuttgart/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@www.intel.com/, 7-1904
Tracking Cookies - Removed, Cookies, Cookie:***@fl01.ct2.comclick.com/, 7-1741
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/idgcom-de/tecchannel/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@www.fixya.com/, 7-2261
Tracking Cookies - Removed, Cookies, Cookie:***@int.sitestat.com/panasonic/de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@imagevenue.advertserve.com/, 7-1630
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1068954949/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1065319315/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@vogelservices.122.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@imrworldwide.com/cgi-bin, 7-1508
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/is24/is24/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@bluestreak.com/, 7-1558
Tracking Cookies - Removed, Cookies, Cookie:***@fixya.com/, 7-2261
Tracking Cookies - Removed, Cookies, Cookie:***@casino.com/, 7-232
Tracking Cookies - Removed, Cookies, Cookie:***@revsci.net/, 7-1559
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/hk/dihk/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@daimlerag.122.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1047815728/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@content.yieldmanager.com/ak/, 7-1540
Tracking Cookies - Removed, Cookies, Cookie:***@autoscout24.112.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/hk/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@suitesmart.com/, 7-2126
Trojan.Win32/Agent - Quarantined, File, C:\WINDOWS\system32\reader_s.exe, 4-11490
Unwanted.Smart_PC - Removed, Registry Key, HKEY_CURRENT_USER\Software\Smart PC Solutions, 4-22135
Trojan.Win32/Agent - Removed, Registry Key, HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect, 4-22392
Trojan.Win32/Agent - Removed, Registry Value, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Value=reader_s, 4-26065

15.54 Uhr - Malwarebytes' Anti Malware

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4037

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.04.2010 15:54:18
mbam-log-2010-04-28 (15-54-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 143170
Laufzeit: 12 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.

[Fortsetzung folgt...]

weiter gehts...

29.04.2010

11.57 - IObit Security 360

IObit Security 360

OS:Windows XP
Version:1.4.1.11
Define Version:1417
Time Elapsed:00:05:09
Objects Scanned:50876
Threats Found:2

|Name|Type|Description|ID|
Tracking Cookies - Removed, Cookies, Cookie:***@www.burstnet.com/, 7-1698
Tracking Cookies - Removed, Cookies, Cookie:***@tribalfusion.com/, 7-8

15.15 - Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4050

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.04.2010 15:15:59
mbam-log-2010-04-29 (15-15-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 261479
Laufzeit: 2 Stunde(n), 4 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2280ae27-f753-f8e4-3367-f7a3825e8359} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2280ae27-f753-f8e4-3367-f7a3825e8359} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87sdhfush87fsufhuie3fddf (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Infizierte Dateien:
C:\WINDOWS\system32\37ef7ae6.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\cxno.tmp\svchost.exe (Adware.Agent) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\jyxf.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\keqipwpvtteqknp.dll (Adware.IEhlpr) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\zt2u3kx.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\gmfrxpgv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cxlqe.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1C2NEZRN\kkemu[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CPB94E3W\hypwhc[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D3DMKG9M\your[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D3DMKG9M\oriqbjdp[1].htm (Trojan.Ertfor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D3DMKG9M\packupdate_build106_231[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WONP83SA\rvqxfn[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\g1ty80xf.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\ntuser_mssec.exe (Trojan.VirTool) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.

15.25 - Trojan Remover

siehe Anhang

17.36 - IObit Security 360

IObit Security 360

Betriebssystem:Windows XP
Version:1.4.1.11
Definitionsversion:1417
Zeit:01:57:54
Überprüfte Objekte:171774
Gefundene Bedrohungen:3

|Name|Typ|Beschreibung|ID|
Tracking Cookies - Entfernt, Cookies, Cookie:***@www.burstnet.com/, 7-1698
Tracking Cookies - Entfernt, Cookies, Cookie:***@tribalfusion.com/, 7-8
180 Solutions.nCase - unter Quarantäne gestellt, File, C:\WINDOWS\SoftwareDistribution\Download\c268348752498f57ff1128ae6a23c4f1\wgatray.exe, 9-56760

21.04 - Hitman Pro

siehe screenshot im Anhang

Das war's... DANKE schon jetzt!

Die Logs von den beiden Scans poste ich sobald sie fertig sind.

Post Du noch das OTL Log?

So, hier das aktuelle Anti-Malware-Log. Sieht ja schonmal nicht so schlecht aus...

OTL-Log kommt später am Abend.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.04.2010 19:02:09
mbam-log-2010-04-30 (19-02-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 269855
Laufzeit: 1 Stunde(n), 57 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hier dann doch schon die OTL-Logs:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Außerdem musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

[2010.04.29 11:59:00 | 000,096,704 | ---- | M] () -- C:\WINDOWS\System32\d248596c.exe

[2010.04.29 11:58:28 | 000,050,994 | ---- | M] () -- C:\WINDOWS\System32\sfqmhigpwfyyhivfy.exe

[2010.04.27 14:00:36 | 000,381,952 | ---- | M] () -- C:\WINDOWS\System32\jxufwpfetnryeysi.dll.vir

[2010.04.26 12:43:33 | 000,012,468 | -HS- | M] () -- D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\UJ0QRjYY

[2010.04.26 12:43:33 | 000,012,468 | -HS- | M] () -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UJ0QRjYY

[2010.04.26 12:12:04 | 000,075,056 | ---- | M] () -- D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

gesagt getan. Allerdings kam während des Fix die Nachricht, dass das System herunterfährt weil ein DCOM-Server Prozessstart unerwartet beendet wurde. Beim Runterfahren hing er sich auf. Nach Reset fing mein Antivir an zu piepen: TR/Crypt.ZPACK.Gen in hpcmpmgr.exe.
Habe dann das Script in OTL ausgeführt, Log anbei.

Was nun?

Ok. Dann mach mal nen Durchgang mit CF bitte:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Moin.
CCleaner hab ich durchlaufen lassen.
Combofix habe ich gestartet. Nach Feststellung von Rootkitaktivitäten wurde das System neu gestartet und hängt dort nun seit einiger Zeit. Combofix zeigt blaues Fenster mit dem Text "Combofix wird vorbereitet, um ausgeführt zu werden". Ab und zu (etwa alle 5 Minuten) kommt der Windows-Startbildschirm, an dem ich Nutzer auswählen kann. Dann bliebt es wieder beim Combofix fenster.
Ist das normal?

Habe Combofix nun fertiggestellt. Logfile anbei. Leider funkte mir immer wieder mein AntiVirGuard dazwischen, der mir auch nach Beendigung von ComFix immer noch TR/Crypt.ZPACK.Gen meldet.
Danke für Eure weitere Hilfe!

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

files to delete:

d:\dokumente und einstellungen\All Users\Anwendungsdaten\wSRbTt0y.exe

d:\dokumente und einstellungen\All Users\Anwendungsdaten\LInVEmqDD.dat

c:\windows\Fonts\0FRBaD.com

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

Schön, dass Du wieder da bist ;-)

Hier das Logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\Fonts\0FRBaD.com" deleted successfully.
File "d:\dokumente und einstellungen\All Users\Anwendungsdaten\wSRbTt0y.exe" deleted successfully.
File "d:\dokumente und einstellungen\All Users\Anwendungsdaten\LInVEmqDD.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Die backup-Datei aus Deinem Schritt 8 habe ich nicht... Lediglich eine 0FRBaD.exe, die ebenfalls den bekannten AntiVir-Fund aufweist.

Ok, dann wurde das nichts mit der backup.zip ;)
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Geht klar, Arne. Die Posts kommen, sobald die Scans fertig sind.
Schon jetzt vielen Dank für Deinen Einsatz hier. Grossartiges Forum.

Hier der SASW-Log:

Application Version : 4.36.1006

Core Rules Database Version : 4876
Trace Rules Database Version: 2688

Scan type : Complete Scan
Total Scan Time : 02:17:41

Memory items scanned : 508
Memory threats detected : 0
Registry items scanned : 7529
Registry threats detected : 0
File items scanned : 98971
File threats detected : 22

Adware.Tracking Cookie
D:\Dokumente und Einstellungen\***\Cookies\***@zanox[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@autoscout24.112.2o7[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@fastclick[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@www.burstnet[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@atdmt[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@adx.chip[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@tribalfusion[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@apmebf[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@de.sitestat[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@mediaplex[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@de.sitestat[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@audiag.112.2o7[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@burstnet[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@ads.quartermedia[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@tradedoubler[2].txt
D:\Dokumente und Einstellungen\***\Cookies\***@invitemedia[1].txt
D:\Dokumente und Einstellungen\***\Cookies\***@de.sitestat[3].txt

Trojan.Agent/Gen
D:\AVENGER\WSRBTT0Y.EXE

Adware.Vundo/Variant-Vx
D:\_OTL\MOVEDFILES\04302010_195614\C_WINDOWS\SYSTEM32\JXUFWPFETNRYEYSI.DLL.VIR

Anti-Malware poste ich dann in ca 2 Stunden, wenns fertig ist

und hier der Anti-Malware-Log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4057

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01.05.2010 20:19:34
mbam-log-2010-05-01 (20-19-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 249011
Laufzeit: 1 Stunde(n), 24 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Sieht ok aus. Malwarebytes hat nichts gefunden, SASE nur Cookies und Dateien die wir mit OTL gefixt haben. Noch Probleme mitm Rechner?

also eigentlich sieht alles gut aus. Wenn ich aber z.B. in c:\avenger auf die einzige Datei 0FRBaD.com klicke (1x), meldet mir AntiVir Guard direkt wieder den Crypt.ZPACK.Gen

Das ist ja auch die Datei, die wir mit dem Avenger gelöscht haben!! Warum klickst Du da überhaupt rauf??
Der verschiebt die nach c:\avenger, eigentlich in die Backup.zip aber das hat ja nicht geklappt die backup.zip zu erstellen, vermutlich weil AntiVir dazwischengefunkt hat.

ok. Leuchtet mir nicht ganz ein (warum ist die da wenn wir sie gelöscht haben), aber ich vertraue Dir als Experten. Soll ich das Verzeichn nis löschen? Muss ich sonstige Aufräumarbeiten/Deinstallationen durchführen?

Weil der Avenger nach dem Löschen vorsichtshalber ein backup der Dateien anlegt, deswegen ist die da. Aber das Anlegen der Backup.zip hat nicht geklappt, deswegen ist die da so reingerutscht. Das Avengerverzeichnis kannst Du löschen. Wenn jetzt wieder alles ok ist, bitte die Updates prüfen:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

ok, mache ich morgen.
Dir, Arne, ein grosses DANKE. Die Kiste scheint wieder zu laufen, was ohne dieses Forum, und speziell ohne Dich, nicht gklappt hätte! Grossartig.