:mozilla.70:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Questionmarket : Keine Aktion durchgeführt.
:mozilla.71:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Questionmarket : Keine Aktion durchgeführt.
:mozilla.73:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.74:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.75:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.76:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.77:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.164:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Tfag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\[email protected][1].txt -> TrackingCookie.Tfag : Keine Aktion durchgeführt.
:mozilla.139:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
:mozilla.140:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
:mozilla.44:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Valueclick : Keine Aktion durchgeführt.
:mozilla.45:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Valueclick : Keine Aktion durchgeführt.
:mozilla.46:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Valueclick : Keine Aktion durchgeführt.
:mozilla.124:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Webtrendslive : Keine Aktion durchgeführt.
:mozilla.107:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Xhit : Keine Aktion durchgeführt.
:mozilla.108:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Xhit : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\[email protected][1].txt -> TrackingCookie.Xhit : Keine Aktion durchgeführt.


::Berichtende

ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

 + Erstellt um:   19:59:06 06.10.2006

 + Scan-Ergebnis:   



:mozilla.151:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@2o7[2].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.102:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Addcontrol : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\[email protected][1].txt -> TrackingCookie.Addcontrol : Keine Aktion durchgeführt.
:mozilla.36:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
:mozilla.41:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
:mozilla.42:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
:mozilla.43:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\[email protected][1].txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
:mozilla.123:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@atdmt[2].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
:mozilla.37:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
:mozilla.23:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.24:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.25:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.26:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.28:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.29:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.30:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.31:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.32:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.33:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.34:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.61:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\[email protected][1].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@fastclick[2].txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\[email protected][1].txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
:mozilla.157:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Googleadservices : Keine Aktion durchgeführt.
:mozilla.22:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@ivwbox[1].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
:mozilla.27:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.35:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@komtrack[2].txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.20:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@mediaplex[1].txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt.
:mozilla.150:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Popularix : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\[email protected][1].txt -> TrackingCookie.Popularix : Keine Aktion durchgeführt.
:mozilla.69:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Questionmarket : Keine Aktion durchgeführt.

So, das soll es gewesen sein.
Es ist keine Malwareinfektion zu entdecken, dein PC ist wieder Clean!

Super! Endlich! Vielen vielen Dank für die tolle Hilfe und die wertvollen Tipps!
Eine Frage noch: Die Systemwiederherstellung kann ich nun wieder aktivieren oder?

Hallo!
Ich bin am verzweifeln...nachdem ich vor 2 Tagen nach einer Anleitung von hier das Problem der Weiterleitung beseitigt glaubte, ist es nun wieder da. Ich habe mir HijackThis besorgt und die Logfile erstellt:
Ich würde mich sehr freuen, wenn mir jemand helfen könnte.
Danke im Voraus!


Logfile of HijackThis v1.99.1
Scan saved at 21:13:09, on 07.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Web.de\adminsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\FRITZ!DSL\fritzdsl.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\DOKUME~1\MARKO~1.MAR\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup:  Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Teil 2 der Logfile:

O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{05BF031D-1D9D-4D0D-A6BF-18F9E5B99DA6}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{29DAC3C3-C50E-40AC-9B0F-F050A4F6F44A}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{3742503C-4D04-4A2D-91DE-4BEF750CDCFC}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{6835FB8B-C648-4483-ABAB-50F1D5A2C2DE}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{903C88AA-375A-4241-90F5-7F95C3802496}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{05BF031D-1D9D-4D0D-A6BF-18F9E5B99DA6}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{05BF031D-1D9D-4D0D-A6BF-18F9E5B99DA6}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.9
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Web.de Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Hi,
dein Internetverkehr wird über die Ukraine durch eine alten “Bekannten“ umgeleitet !
NameServer = 85.255.114.34,85.255.112.9

Fixe alle O17 Einträge aus deinen Logfile of HijackThis
und starte im Anschluss umgehend den PC neu!

Überprüfe deinen PC dann mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

Arbeite die Anweisung unbedingt in der Reihenfolge und vollständig ab!

Deaktiviere zuerst die Systemwiederherstellung von Windows, nur bei XP und ME.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“

Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner von Ewido erfolgen.
Zum Teil in Englisch und nur für Windows XP und 2000
http://www.ewido.net/de/onlinescan/
Gut bei der Spyware / Adware Erkennung und Beseitigung.
Wenn Malware entdeckt, muss nach dem Scan der Button “Remove Infections“ gedrückt werden, damit die Schadprogrammen automatisch beseitigen.
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar)

Poste bitte die beiden ausführliche Scanprotokolle der Onlinescanner hier !
Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder.
Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.

irgendwie klappt der scan mit dem F-Secure Online Scanner nicht, Programm stürzt immer nach ca 30 000 Dateien ab.
Habe das selbe dann mit dem Ewido gemacht, der mir dann auch 2mal abstürzte. Anschließend habe ich die Testversion von Ewido installiert und einen Schnellscan gemacht, der natürlich den "Downloader.Zlob.aty" erkannte und in Quarantäne stellte. Nach einem Neustart hatte ich das Problem immer noch. Ein weiterer Scan mit Ewido brachte das selbe Objekt zum Vorschein...ich habe nun quasi 2 Abende mit Scannen verbracht und bin noch immer nicht weiter

Vielleicht weiss jemand noch einen anderen Weg.
Vielen Dank im Voraus.

Hi,
dann setze für eine schnelle und kostenlose Überprüfung des kompletten Systems die folgenden Freeware Malware-Scanner erst mal ein. Übrigens, alle samt mit einer Reinigungsfunktion.

1. AV Cleaner “Damage Cleanup“ von Trend Micro.
(Spezielles Entfernungstool für fast alle bekannten Viren - In englischer Sprache)
Die Dateien sysclean.com und lpt$vpn.xxx müssen im selben Ordner abgelegt sein, keine Installation notwendig!
a. Sysclean Package, ca. 3,4 MB
http://de.trendmicro-europe.com/enterprise/support/tsc.php
b. Pattern, ca. 15 MB Zipdatei
http://de.trendmicro-europe.com/enterprise/support/pattern.php

2. Lade dir die Software NGenFix von Norman herunter, ca. 1,9 MB. http://www.norman.com/Virus/Virus_removal_tools/de

3. Und als nächstes Spybot-S&D, ca. 6,2 MB (mit Updates)
http://www.safer-networking.org/de/download/index.html
Auch hier gilt, das nach der Installation erst mal eine Aktualisierung fällig ist,
siehe unter
http://www.spybotupdates.com/updates/files/spybotsd_includes.exe


Um eine optimale Überprüfung mit den 3 Tools zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Poste bitte die ausführlichen Scanergebnisse wieder hier.
Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.

Hallo,
man kann natürlich noch ein Proggi und noch ein Proggi runterladen,konfigurieren,updaten und trallalla machen...

Man kann aber auch das Problem so angehen :

http://www.trojaner-board.de/30411-anleitung-zur-entfernung-von-zlob.html
Sir Reklov

Hallo,
man kann natürlich noch ein Proggi und noch ein Proggi runterladen,konfigurieren,updaten und trallalla machen...

Man kann aber auch das Problem so angehen :

http://www.trojaner-board.de/30411-anleitung-zur-entfernung-von-zlob.html
Sir Reklov

also ich habe es diesmal geschafft mit dem durchlauf der 3 programme, die abstürze lagen an einer datei - trotzdem hat alles nichts geholfen. das problem ist immer noch da.

ein ergebnis kann ich leider nur vom avg posten, die anderen liefern keine bzw. lassen sich nicht kopieren.

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

 + Erstellt um:   23:16:28 10.11.2006

 + Scan-Ergebnis:   



C:\Dokumente und Einstellungen\Marko\Lokale Einstellungen\Temp\cd_clint.dll -> Adware.Cydoor : Gesäubert.
[204] VM_00D70000 -> Downloader.Zlob.aty : Gesäubert.
[228] VM_00C20000 -> Downloader.Zlob.aty : Gesäubert.
[756] VM_00B40000 -> Downloader.Zlob.aty : Gesäubert.
C:\Dokumente und Einstellungen\Marko\Eigene Dateien\Meine empfangenen Dateien\hihi.exe -> Not-A-Virus.BadJoke.Win32.Badgame : Gesäubert.
C:\Dokumente und Einstellungen\Marko\Eigene Dateien\Fun-Ordner\FUN an @ disaster area C 413 - icq 135974607 (Win-ini)\ParanoidHomer.exe -> Not-A-Virus.BadJoke.Win32.Deskop : Gesäubert.


::Berichtende


HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 01:26:04, on 11.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Web.de\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\MARKO~1.MAR\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

Teil #2

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup:  Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Web.de Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

irgendwie bin ich völlig angenervt, da ich nun schon den 3. Tag zu gange bin
Wahrscheinlich bleibt dann doch nur eine Neuinstallation...

Hi,
das hört sich nicht so gut an.
AVG Anti-Spyware findet die Malware nur im Speicher, dies kann nur bedeutet,
dass die infizierte Malwaredatei sich verstecken kann, ein Rootkit also! 

Checke deinen PC mit dem kostenlosen Tool BlackLight von F-Secure:
https://europe.f-secure.com/exclude/blacklight/index.shtml
Das Tool kann viele Rootkit problemlos entfernen.

Poste das Ergebnis von BlackLight hier.

guten morgen!
ich habe letzte nacht nochmal mit f-secure durchlaufen lassen. hat was gefunden und auch bereinigt - problem ist jedoch weiter vorhanden. lassen dann nun mal mit dem eben von dir empfohlnenen scanner durchlaufen.
hier der bericht von eben:

Logfile of HijackThis v1.99.1
Scan saved at 01:26:04, on 11.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Result: 5 malware found
Dumaru.Z@mm (virus)
C:\Dokumente und Einstellungen\Marko\Lokale Einstellungen\Anwendungsdaten\Identities\{4820A29A-D97B-4EB5-88B2-CEC2E95E4C48}\Microsoft\Outlook Express\Gelöschte Objekte.dbx\Elene [email protected], Important information for you. Read it immediately !.eml\[From "Elene" ][Subject:Important information for you. Read it immediately !]
Email-Worm.Win32.Dumaru.o (virus)
C:\Dokumente und Einstellungen\Marko\Lokale Einstellungen\Anwendungsdaten\Identities\{4820A29A-D97B-4EB5-88B2-CEC2E95E4C48}\Microsoft\Outlook Express\Gelöschte Objekte.dbx\Elene [email protected], Important information for you. Read it immediately !.eml\[From "Elene" ][Subject:Important information for you. Read it immediately !]\no name\myphoto.jpg .exe
Stealth_file (hidden item)
C:\WINDOWS\system32\kduks.exe (Submitted)
Swizzor.HK (virus)
C:\Dokumente und Einstellungen\Marko\Lokale Einstellungen\Temp\sta1.exe (Submitted)
Windows (spyware)
System (Disinfected)

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 295074
System: 4811
Not scanned: 96
Actions:
Disinfected: 1
Renamed: 0
Deleted: 0
None: 4
Submitted: 2
Files not scanned:
x 8DIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\BIOS1.ROM
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\SYSTEM32\CATROOT2\EDB.LOG
C:\WINDOWS\SYSTEM32\CATROOT2\TMP.EDB
C:\TEXMF\SOURCE\LATEX\TIMESHT\MANIFEST
C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
C:\PROGRAMME\SONIC\BACKUP MYPC 6\SYSTEM\ISO9660.BIN
C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE.NT-AUTORITÄT\NTUSER.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE.NT-AUTORITÄT\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO.MARKOLAPTOP\NTUSER.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO.MARKOLAPTOP\LOKALE EINSTELLUNGEN\TEMP\~DF1D53.TMP
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO.MARKOLAPTOP\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO.MARKOLAPTOP\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\GOOGLE DESKTOP SEARCH\DBDAM
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO.MARKOLAPTOP\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\GOOGLE DESKTOP SEARCH\DBEAM
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\TEMP\PERFLIB_PERFDATA_6A0.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\TEMP\PERFLIB_PERFDATA_6F0.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\TEMP\~PST3023.TMP
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\TEMP\~WRF0004.TMP
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\TEMP\~WRF0873.TMP
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\SHAREAZA\INCOMPLETE\LLMF5P56KIK4ATXXRJK53TV66PNRYJLA RAM JAM - BLACK BETTY.MPG
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y0CB0406.DEFAULT\CACHE\_CACHE_001_
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y0CB0406.DEFAULT\CACHE\_CACHE_002_
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y0CB0406.DEFAULT\CACHE\_CACHE_003_
C:\Dokumente und Einstellungen\Marko\Eigene Dateien\programme\Datenrettung\Sonic[1] Backup Mypc Deluxe v6.0 Multilanguage Incl Keygen-Ssg(1).zip\readme.html
C:\Dokumente und Einstellungen\Marko\Eigene Dateien\programme\Bildbearbeitung\screenshot\hc.exe\swsetup.in_\swsetup
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\EIGENE DATEIEN\NERO\XP126A.NRG
C:\Dokumente und Einstellungen\Marko\Eigene Dateien\Markt & Technik\Buchdaten\Tools\HardCopy\hc.exe\swsetup.in_\swsetup
C:\Dokumente und Einstellungen\Marko\Eigene Dateien\Markt & Technik\Buchdaten\Tools\HardCopy\hc.exe\swsetup.ex_\swsetup
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\EIGENE DATEIEN\FUN-ORDNER\FUN AN @ DISASTER AREA C 413 - ICQ 135974607 (WIN-INI)\C64 SPIELE\VERMEER\VERMEER.D64
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\EIGENE DATEIEN\FUN-ORDNER\FUN AN @ DISASTER AREA C 413 - ICQ 135974607 (WIN-INI)\C64 SPIELE\THE_TRAIN_ESCAPE_TO_NORMANDY\THE_TRAIN_ESCAPE_TO_NORMANDY.D64
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\EIGENE DATEIEN\FUN-ORDNER\FUN AN @ DISASTER AREA C 413 - ICQ 135974607 (WIN-INI)\C64 SPIELE\SPACE TAXI\SPACE_TAXI.D64
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\EIGENE DATEIEN\FUN-ORDNER\FUN AN @ DISASTER AREA C 413 - ICQ 135974607 (WIN-INI)\C64 SPIELE\LAW_OF_THE_WEST\LOTW-1.D64
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\EIGENE DATEIEN\FUN-ORDNER\FUN AN @ DISASTER AREA C 413 - ICQ 135974607 (WIN-INI)\C64 SPIELE\LAW_OF_THE_WEST\LOTW-2.D64
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\EIGENE DATEIEN\FUN-ORDNER\FUN AN @ DISASTER AREA C 413 - ICQ 135974607 (WIN-INI)\C64 SPIELE\INTERNATIONAL_K.MP3üÞiC

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure Libra: 2.4.2, 2006-11-10
F-Secure AVP: 7.0.171, 2006-11-10
F-Secure Orion: 1.2.37, 2006-11-10
F-Secure Blacklight: 1.0.31, 0000-00-00
F-Secure Draco: 1.0.35, 0260-02-44
F-Secure Pegasus: 1.19.0, 2006-08-29
Scanning options:
Scan all files
Scan inside archives
Use Advanced heuristics