infiziert von: Antivir: TR/Crypt.XPACK.gen und vielleicht mehr...

#1 hallo zusammen!
bisher warich nur mitleser, weil mich das thema malware, viren, etc. schon immer irgendwie fasziniert hat. und hier rennen sehr viele kompetente leute rum und ich hoffe, ihr könnt mir helfen:

vorgeschichte: meine freundin hat von einem arbeitskollegen einen usb-stick mit einigen jpg-dateien bekommen. nachdem der stick im notebook steckte, schlug antivir mit der meldung eines trojaners, siehe thementitel, an. die datei hieß "ceb6eu98.bat".

und hier nun schritt für schritt die einzelnen logs:


Malwarebytes:

2 befunde, zweimal BHO.adware (bei bedarf liefere ich das log nach, schien mir aber nicht relevant für den virus)


CombFix

ComboFix 09-03-02.03 - mihi 2009-03-03 21:49:03.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.446.172 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\mihi\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: Norton Internet Worm Protection *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-03 bis 2009-03-03 ))))))))))))))))))))))))))))))
.

2009-03-03 21:38 . 2009-03-03 21:38 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-03 21:38 . 2009-03-03 21:38 <DIR> d-------- c:\dokumente und einstellungen\mihi\Anwendungsdaten\Malwarebytes
2009-03-03 21:38 . 2009-03-03 21:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-03 21:38 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-03 21:38 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-22 20:21 . 2009-02-22 20:20 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-18 17:07 . 2009-02-21 12:11 <DIR> d-------- c:\programme\Cake Poker

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-02 21:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-27 15:59 --------- d-----w c:\programme\Full Tilt Poker
2009-02-27 15:01 --------- d-----w c:\programme\PokerStars
2009-02-22 19:20 --------- d-----w c:\programme\Java
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-11-23 13:28 63,072 ----a-w c:\dokumente und einstellungen\mihi\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-01-06 12:25 0 ---ha-w c:\dokumente und einstellungen\LocalService\hpothb07.dat
2007-01-06 12:24 169 ---ha-w c:\dokumente und einstellungen\All Users\hpothb07.dat
2007-01-06 12:24 0 ---ha-w c:\dokumente und einstellungen\Default User\hpothb07.dat
2008-09-11 13:23 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008091120080912\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\progra~1\MESSEN~1\Msmsgs.exe" [2008-04-14 1695232]
"pdfSaver3"="c:\programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe" [2004-09-05 380928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2006-11-21 35328]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-22 136600]
"MMReminderService"="c:\programme\Mindjet\MindManager 7\MMReminderService.exe" [2007-05-18 37392]
"SoundMan"="SOUNDMAN.EXE" [2006-03-01 c:\windows\SOUNDMAN.EXE]
"SMSERIAL"="sm56hlpr.exe" [2004-12-29 c:\windows\sm56hlpr.exe]
"VTTimer"="VTTimer.exe" [2005-03-08 c:\windows\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-11-01 c:\windows\system32\VTTrayp.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Programme\Autostart\
Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2007-08-13 1265664]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-11-30 110592]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Belkin Wireless G USB Adapter Client Utility.lnk - c:\programme\Belkin\F5D7050v5\Belkinwcui.exe [2008-12-01 1564672]
hp psc 1000 series.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 147456]
hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk - c:\programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe [2007-03-15 10919936]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe"=
"c:\\Programme\\Gamers.IRC\\mirc.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\BearShare Applications\\BearShare\\BearShare.exe"=

R1 SSHDRV84;SSHDRV84;c:\windows\system32\drivers\SSHDRV84.sys [2006-12-01 76800]
R3 EKBfltr;ENE Keyboard Controller;c:\windows\system32\drivers\EKBfltr.sys [2006-10-08 5504]
R4 ZDCNDIS5;ZDCNDIS5 NDIS Protocol Driver;c:\windows\ZDCndis5.sys [2007-03-15 18944]
S3 BELKIN;Belkin Wireless G USB Network Adapter;c:\windows\system32\drivers\BLKWGU.sys [2008-12-01 238848]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;c:\windows\system32\drivers\BRGSp50.sys [2007-03-15 20608]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe --> c:\magix\Common\Database\bin\fbserver.exe [?]
S3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;c:\windows\system32\drivers\WlanUZXP.SYS [2007-03-15 402944]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e8ffc424-90a5-11dd-bd5b-00c0a8c8d97e}]
\Shell\AutoRun\command - ceb6eu98.bat
\Shell\explore\Command - ceb6eu98.bat
\Shell\open\Command - ceb6eu98.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff18350e-c221-11dd-bdc2-00c0a8c8d97e}]
\Shell\Auto\command - ldewiykot.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ldewiykot.exe
.
Inhalt des "geplante Tasks" Ordners

2007-05-06 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1168272474.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-06 00:52]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-AOLMIcon - c:\isp\AOL\AOLMIcon.exe
HKCU-Run-Yahoo! Pager - c:\programme\Yahoo!\Messenger\ypager.exe
HKLM-Run-pdfSaver3 - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{10F055B8-F443-4adf-948A-EC551E9DBCE4} - c:\dokumente und einstellungen\All Users\Programme\UltimateBet\UltimateBet.lnk
FF - ProfilePath - c:\dokumente und einstellungen\mihi\Anwendungsdaten\Mozilla\Firefox\Profiles\7myx4e1z.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-03 21:52:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-03 21:54:58
ComboFix-quarantined-files.txt 2009-03-03 20:54:34

Vor Suchlauf: 21 Verzeichnis(se), 60,604,854,272 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 60,593,188,864 Bytes frei

124 --- E O F --- 2009-02-25 13:31:27


HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:43, on 03.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Mindjet\MindManager 7\MMReminderService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe
C:\Programme\Belkin\F5D7050v5\Belkinwcui.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 7\MMReminderService.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Belkin Wireless G USB Adapter Client Utility.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: UltimateBet - {10F055B8-F443-4adf-948A-EC551E9DBCE4} - C:\Dokumente und Einstellungen\All Users\Programme\UltimateBet\UltimateBet.lnk
O9 - Extra 'Tools' menuitem: UltimateBet - {10F055B8-F443-4adf-948A-EC551E9DBCE4} - C:\Dokumente und Einstellungen\All Users\Programme\UltimateBet\UltimateBet.lnk
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\All Users\Programme\Absolute Poker\Absolute Poker.lnk
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\All Users\Programme\Absolute Poker\Absolute Poker.lnk
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: An Mindjet MindManager senden - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Bodog Poker - {F47C1DB5-ED21-4dc1-853E-D1495792D4C5} - C:\Dokumente und Einstellungen\mihi\Desktop\Poker\Bodog Poker\BPGame.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7918 bytes


Temp:

hier befindet sich eine nicht-löschbare datei:

Perflib_Perfdata_7c4.dat


soviel dazu. und ja:meine freundin ist eine poker-verrückte

ich hoffe, ihr könnt mir helfen und bedanke mich schonmal im vorraus für eure mühe [/b]

#2 start ausfüren regedit enter
navigiere zu:
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
auf der rechten seite folgenden wert suchen:
"AntiVirusDisableNotify"=dword:00000001
rechtsklick bearbeiten klicken und die 1 in eine null endern.
weiterhin:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
aufsuchen und folgenen schlüssel löschen.
{e8ffc424-90a5-11dd-bd5b
im selben schlüssel also:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
den folgenden unterschlüssel löschen:
{ff18350e-c221-11dd-bdc2-00c0a8c8d97e}]
schließe regedit.
gehe nun auf suche und dort optionen dort auswählen das auch versteckte dateien und geschützte dateien durchsucht werden schau ob du eine
ldewiykot.exe
hast wenn ja, lade diese hier hoch:
http://www.virustotal.com/en/indexf.html
und poste das ergebniss.
dein freund soll sich mit dem stick am besten hier melden. er soll alle tools wie du ausfüren und den stick gleich mit prüfen lassen und dann noch folgendes tool verwenden:
http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe
wenn du das für ihn erledigen willst, füre erst den flash disinfector aus und suche auch auf dem stick nach der von mir genannten exe. sonst bringen die oben genannten Arbeitsschritte ncihts und du infizierst dich erneut.

#3 erstmal danke für deine hilfe

habe nun per regedit die schlüssel gelöscht bzw. die werte verändert.

die .exe-datei wurde nicht gefunden (insofern der erst buchsateb ein "L" ist).

aber: selbst nach neustart kriege ich die oben genannte .dat-datei nicht aus dem temp-ordner gelöscht. oder irgendwie noch schlimmer: sie heisst nun etwas anders: Perflib_Perfdata_670.dat.

da steht beim löschversuch, dass diese datei von einem andern programm bzw. person verwendet wird. hat sich der schlawiner von trojaner vielleicht neue dateien aus dem netz gezogen?

EDIT: ein kleiner nachtrag: bei diesen perflib_xxxx.dat-dateien handelt es sich, dank freund google, anscheinend um eine datei, die der systemmonitor hinterlegt, warum auch immer oder was auch immer das heissen mag

aber trotzdem freue ich noch über weitere vorschläge

#4 ldewiykot.exe
ist ein l warum, hast du ne änliche Datei gefunden?
mache noch folgende online scans:
http://support.f-secure.de/ger/home/ols.shtml
funde löschen log posten
kaspersky:
www.kaspersky.com/de/virusscanner - 22k -wähle untersuchungsobjekt arbeitsplatz poste das log.
Du musst beide scans mit dem ie ausfüren.

#5 nee, auch nix ähnliches gefunden

scans führe ich heute abend dann mal durch, danke schön!