Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Herzlichen Glückwunsch Sie haben Level 1 geschafft!
Nein im Ernst, jetzt kann ich definitiv sagen (und notfalls auch beweisen), dass mein System Infiziert wurde.

Log von SASW:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/18/2011 at 09:01 PM

Application Version : 4.55.1000

Core Rules Database Version : 7421
Trace Rules Database Version: 5233

Scan type       : Complete Scan
Total Scan Time : 01:43:32

Memory items scanned      : 559
Memory threats detected   : 0
Registry items scanned    : 12681
Registry threats detected : 0
File items scanned        : 348354
File threats detected     : 8

Trojan.Agent/Gen-UsrMgr
	D:\QTSDK\MAEMO\4.6.2\MADBIN\MD5SUM.EXE
	D:\QTSDK\MAEMO\4.6.2\MADBIN\SHA1SUM.EXE
	D:\QTSDK\MAEMO\4.6.2\MADBIN\SHA256SUM.EXE
	D:\QTSDK\MAEMO\4.6.2\MADBIN\TARLISTED.EXE
	D:\QTSDK\MAEMO\4.6.2\MADLIB\UTFS-SERVER.EXE
	D:\QTSDK\MAEMO\4.6.2\TARGETS\FREMANTLE-PR13\BIN\GCC.EXE
	D:\QTSDK\MAEMO\4.6.2\TEMPLATES\TOOLWRAPPER.EXE

Trojan.Agent/CDesc[Generic]
	D:\SPIELE\EPS\PLUGINS\SPUIORI.DLL
         

Für mich sehen diese Agent/Gen-UsrMgr nach False-Positives aus, die Dateien werde ich in den nächsten Tagen aber genauer prüfen (Surfe momentan mit einem Surfstick und die Volumenbegrenzung wurde erreicht)

Die SPUIORI.DLL scheint jedoch ein Volltreffer zu sein.
Mir ist auch aufgefallen, dass die Datei eine nette Botschaft in der Dateibeschreibung enthält "のろってやる!!" (Auf dt. etwa "Ich werde verflucht!!").
Das seltsame daran ist, der Explorer zeigt einen Zeitstempel von 2001 an, vielleicht wurde dieser manipuliert falls so etwas möglich ist.

EDIT: Mist zu früh gefreut... nur 2 der Scanner auf Virustotal haben etwas gefunden und auch nur heuristische Funde:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus results
AhnLab-V3 - 2011.07.19.02 - 2011.07.19 - -
AntiVir - 7.11.11.232 - 2011.07.19 - -
Antiy-AVL - 2.0.3.7 - 2011.07.15 - -
Avast - 4.8.1351.0 - 2011.07.19 - -
Avast5 - 5.0.677.0 - 2011.07.19 - -
AVG - 10.0.0.1190 - 2011.07.19 - Suspicion: unknown virus 
BitDefender - 7.2 - 2011.07.19 - -
CAT-QuickHeal - 11.00 - 2011.07.19 - -
ClamAV - 0.97.0.0 - 2011.07.19 - -
Commtouch - 5.3.2.6 - 2011.07.19 - -
Comodo - 9438 - 2011.07.19 - -
DrWeb - 5.0.2.03300 - 2011.07.19 - -
Emsisoft - 5.1.0.8 - 2011.07.19 - -
eSafe - 7.0.17.0 - 2011.07.19 - -
eTrust-Vet - 36.1.8452 - 2011.07.19 - -
F-Prot - 4.6.2.117 - 2011.07.19 - -
F-Secure - 9.0.16440.0 - 2011.07.19 - -
Fortinet - 4.2.257.0 - 2011.07.19 - -
GData - 22 - 2011.07.19 - -
Ikarus - T3.1.1.104.0 - 2011.07.19 - -
Jiangmin - 13.0.900 - 2011.07.19 - -
K7AntiVirus - 9.108.4924 - 2011.07.19 - -
Kaspersky - 9.0.0.837 - 2011.07.19 - -
McAfee - 5.400.0.1158 - 2011.07.19 - -
McAfee-GW-Edition - 2010.1D - 2011.07.19 - -
Microsoft - 1.7000 - 2011.07.19 - -
NOD32 - 6307 - 2011.07.19 - -
Norman - 6.07.10 - 2011.07.18 - -
nProtect - 2011-07-19.01 - 2011.07.19 - -
Panda - 10.0.3.5 - 2011.07.19 - -
PCTools - 8.0.0.5 - 2011.07.13 - -
Prevx - 3.0 - 2011.07.19 - -
Rising - 23.67.01.05 - 2011.07.19 - -
Sophos - 4.67.0 - 2011.07.19 - -
SUPERAntiSpyware - 4.40.0.1006 - 2011.07.19 - Trojan.Agent/CDesc[Generic] 
Symantec - 20111.1.0.186 - 2011.07.19 - -
TheHacker - 6.7.0.1.257 - 2011.07.18 - -
TrendMicro - 9.200.0.1012 - 2011.07.19 - -
TrendMicro-HouseCall - 9.200.0.1012 - 2011.07.19 - -
VBA32 - 3.12.16.4 - 2011.07.19 - -
VIPRE - 9904 - 2011.07.19 - -
ViRobot - 2011.7.19.4577 - 2011.07.19 - -
VirusBuster - 14.0.130.1 - 2011.07.19 - -
File info:
MD5: 43e8e948c6c9a7b56939d5eb1e3c7ddc
SHA1: 72dfb0155624c372638d6951f686b983f0bfe15d
SHA256: 7155a9901158b60e993a0c11bf96d03f9979405f0ef846c5133a25865260b24c
File size: 44020 bytes
Scan date: 2011-07-19 16:46:21 (UTC)
         

--Nun zum eigentlichen Problem--
Auffällig ist die, wahrscheinlich nach dem Einsatz von TDSSKiller, entfallene Rootkit Funktion des eigentlichen Schädlings.
Momentan werden beim Aufrufen des Firefox zahlreiche Verbindungen zum Host dd3728.kasseserver.com hergestellt (nachladen von neuem Schadcode?).
Die Verbindungen werden Firefox zugeordnet, ob auch Verbindungen geöffnet werden wenn ich einen anderen Browser verwende habe ich noch nicht überprüft.
Momentan gehe ich davon aus, dass der PC mit einer relativ neuen Version eines online Banking Trojaners infiziert ist.

Und ich dachte schon ich werde bald paranoid

Edit: Malwarebytes hat nichts gefunden und ESET braucht ja eine Internetverbindung (IMHO momentan kontraproduktiv)

Zitat:

Trojan.Agent/CDesc[Generic]
D:\SPIELE\EPS\PLUGINS\SPUIORI.DLL

Hm und aus welcher Quelle stammt dieses Spiel?

Zitat:

Zitat von cosinus

Hm und aus welcher Quelle stammt dieses Spiel?

Es handelt sich nicht direkt um ein Spiel, sondern um einen Emulator [1] für eine Homebrew Plattform.
Auf diesem Emulator können Spiele, welche mit einem SDK [2] für die PSX programmiert wurden, ohne BIOS für den Emulator entwickelt und gespielt werden.
Nach meinen Recherchen ist diese Art der Verwendung nicht illegal.

[1] XEBRA/ARBEX dieser Emulator kann ohne ein illegales BIOS Homebrew Spiele emulieren.
[2] z.B. Mit diesem Open Source Tool hxxp://code.google.com/p/psxsdk/

--On Topic--
Diese DLL ist jedoch sehr unwahrscheinlich für die Infektion verantwortlich, oder siehst du das anders?

Auch wenn es angeblich nicht illegal ist würde ich die dubiosen Sachen max. mit der Kneifzange anfassen. Ist wie mit allen anderen ausführbaren Dateien aus dubiosen Quellen, allen vorans Keygens und Cracks

Zitat:

Wie könnte ich denn jetzt am besten weitermachen? Oder machen weitere Scans keinen Sinn mehr?

Ist die Frage ob du den Rechner so belassen willst oder alles komplett neu installierst.
Wie ist es denn um den Rechner jetzt bestellt?

Es sind keine wichtigen Dokumente auf dem PC gespeichert und die Hardware ist auch noch "aktuell", jedoch ist es sehr aufwändig die Applikationen wieder zu installieren.
Bei den Programmen welche keinen Export der Einstellungen unterstützen, werde ich die Konfiguration wohl nicht mehr so hinbekommen.
Außerdem müsste ich die Programme welche man nur im Netz bekommt über meinen Surfstick runterladen (Steam games..)

Insgesamt müsste ich, außer Windows, etwa 60GB an Programmen neu installieren, Steam macht davon 32GB und das Qt SDK mit Erweiterungen etwa 9GB aus (es handelt sich um die Größe auf dem Datenträger).


Aber so lassen will ich den Rechner wirklich nicht, die Spiele sind nicht so wichtig und um die Konfigurationen ist es schade, aber ein sauberer Rechner ist wichtiger.