Ja klar Kav sagt in etwa "Kann was böses sein muss aber nicht", aber auch wenn ich auf "Erlauben" klicke kommt es innerhalb von 1-2 sekunden wieder also habe ich angenommen dass die Datei wirklich der Übeltäter ist. Die Meldung hört erst dann auf wenn ich die Datei auf die "Vertrauenswürdige Liste" hinzufüge.
Außerdem ist mir aufgefallen dass Kaspersky die Aktivität glaube ich solange blockt bis ich ihm sage was es tun soll sprich bevor ich auf Erlauben etc. klicke. Und in dieser Zeit geht der Upload dann auch tatsächlich auf Normalzustand also 0 kb/s. Erlaube ich hingegen den Prozess geht der Upload auch wieder hoch.
Das sind aber nur Vermutungen, da ich das ja nich weiß kann ja auch sein dass wenn nen Systemprozess geblockt wird das System au nichtmehr richtig geht sprich das Internet...wär ja au irgendwie logisch.

Lade Blacklight, starten und das Log hier posten.

Bata

jo danke für das Tool, es ist noch am Scannen ich poste den Bericht sobald es fertig ist.
Also Blacklight hat ein "Item" gefunden namens "system32:huy32.sys" wo die Datei nun liegt kann ich dem Programm nicht wirklich entnehmen bzw. ich weiß nicht wo ich es sehen soll...Aber ich bin mir ziemlich sicher dass es während der system32 Ordner durchsucht wurde gefunden wurde. Was soll ich jetzt tun, abgesehen davon dass es bei dem Programm nur eine Option und zwar "Rename" gibt.?

Datei mit "Rename" umbenennen lassen.
Dann lass Blacklight den Rechner neu starten.
Die Datei nach dem Neustart bei VirusTotal - Free Online Virus and Malware Scan scannen lassen, Auswertung hier posten.

Bata

Hm also ich weiß immoment nicht wie die Datei überhaupt heißt, ich dachte "system32:huy32.sys" war nur der Name des Viruses
Und in dem Logfile von Blacklight steht jetz folgendes:

08/16/07 00:55:23 [Info]: BlackLight Engine 1.0.64 initialized
08/16/07 00:55:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/16/07 00:55:23 [Note]: 7019 4
08/16/07 00:55:23 [Note]: 7005 0
08/16/07 00:55:23 [Error]: 6027 5
08/16/07 00:55:23 [Error]: 6002 0
08/16/07 00:55:25 [Note]: 7006 0
08/16/07 00:55:25 [Note]: 7011 1036
08/16/07 00:55:26 [Note]: 8001 2
08/16/07 00:55:28 [Note]: FSRAW library version 1.7.1022
08/16/07 01:10:26 [Info]: Hidden file: c:\WINDOWS\system32:huy32.sys
08/16/07 01:10:26 [Note]: 7002 0
08/16/07 01:13:33 [Note]: 2000 1012
08/16/07 01:13:33 [Note]: 2000 1012
08/16/07 01:27:19 [Note]: 7007 0


Im Windows Ordner exestiert die Datei mit diesem Namen allerdings nicht (Habe den Ordner so eingestellt, dass ich sowohl versteckte als auch systemdateien sehe)
Also kann ich die dtei auch nicht bei Virustotal scannen lassen

Sry, mein Fehler, die Datei heißt nun c:\WINDOWS\system32\huy32.sys.ren

Den Scan kannst Du Dir aber auch sparen, die Datei gehört zum Rootkit:Rustock, da steig ich aus uns sage Lies mich.
Ich hab keinen Plan und kann per Remote Kontrolle durch Dich auch nicht rausfinden was da noch alles läuft.
Bei solche einem Befall ist es immer sicherer den Rechner neu zu installieren. Eventuell funktioniert es auch mit einer Bereinigung, diese dürfte allerdings länger dauern als ein Neuaufsetzen.
Da die Datei Ursache für Deinen Traffic ist, kannst Du mit Sicherheit davon ausgehen, das Der Rechner zwar noch bei Dir steht, sobald Du ihn aber anschaltest und er im Netz ist, gehört er irgendwem.

Bata

Nagut hab mir schon gedacht, dass ich da nich drum herum komme. Trotzdem finde ich es verwunderlich dass Kav die Datei nie zuvor gefunden hat und auch jetzt nicht tut. Ich finde die Datei auch nicht im Ordner, obwohl das ja auch zu leicht wäre sie zu suchen und einfach zu löschen...
Also vielen dank an euch alle für die schnelle Hilfe Cosinus, BataAlexander und myrtille. Ich werd mich melden wenns nomma Probleme gibt, jetz wird aber erstmal geschlafen .