Hallo in die Runde,

ich bitte um Hilfe bei folgendem Problem:
Mein Rechner öffnet seit kurzen direkt nach dem hochfahren den Internet Explorer und dann die Webseite h**p://www.imagesupload.biz.
Die Seite schließt sich anschließend wieder automatisch.

Da ich den Rechner nicht als "Rechner für alles" benutze, sondern hier ausschließlich eine Testinstallation einer Spezialsoftware für Radiosender installiert habe, habe ich einen Verdacht, wie ich mir die Plage eingefangen haben könnte. Vor Kurzem brauchte ich einen PDF Generator, ich habe mir PDFCreator V0.9.8 als Freeware heruntergelagen und seitdem auch die Probleme.

PDFCreator habe ich inzwischen wieder deinstalliert. Das Problem ist aber geblieben. Ein Scan druch AntiVir erkannte den Trojaner "TR/Proxy.Delf.LP". Dieser befand sich im Wiederherstellungsverzeichns von Windows neben dem deinstallierten PDFCreator. Ich habe das Wiederherstellungsverzeichnis bereinigt. AntiVir erkennt auch keine bosartige Software mehr. Das Problem besteht jedoch weiterhin.

Hat hier jemand 'ne Ahnung, was ich noch machen kann?

Mein HijackThis Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:11:01, on 12.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\AMT\atchksrv.exe
C:\Programme\Intel\AMT\LMS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\Procman.exe
C:\Programme\Intel\AMT\UNS.exe
C:\DOKUME~1\DigAS\LOKALE~1\Temp\vhost32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\AMT\atchk.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\DigAS\LOKALE~1\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOKUME~1\DigAS\LOKALE~1\Temp\vhost32.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [atchk] "C:\Programme\Intel\AMT\atchk.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Programme\Intel\AMT\atchksrv.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel - C:\Programme\Intel\AMT\LMS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Process Manager (ProcessManager) - - C:\WINDOWS\System32\Procman.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel - C:\Programme\Intel\AMT\UNS.exe

--
End of file - 4001 bytes

Zitat:

Da ich den Rechner nicht als "Rechner für alles" benutze, sondern hier ausschließlich eine Testinstallation einer Spezialsoftware für Radiosender installiert habe

C:\DOKUME~1\DigAS\LOKALE~1\Temp\vhost32.exe

Ist dir DigAs bekannt?
Und vor allem, wurde die Software gekauft
DigAs

Ja, mir ist DigAS bekannt - ich administriere diese Software für meine Kunden. Und ja: Die Software ist gekauft, allerdings die neue Version.

Nicht das hier jemand den Verdacht haben könnte, dass ich die Software irgendwo her habe und auf diesem Wege an den Virus gekommen bin.

@Gentlman: Falls Du mehr über DigAS wissen willst, helfe ich gerne weiter. Wäre aber super, wenn wir auch mein kleines Problem lösen könnten.

Wird der Rechner gewerblich genutzt?
Wenn JA, steht Dir kein Support zu
Dies ist ausschließlich für Rechner die in privater Nutzung sind

Der Computer steht bei mir zu Hause, ist mein Privateigentum. Keine kommerzielle Nutzung.

Hier die Logs, um die Du in deinem letzten Posting gebeten hattest:

1. virustotal.com

Zitat:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.22 2009.07.13 Backdoor.Win32.SpecTroj!IK
AhnLab-V3 5.0.0.2 2009.07.13 -
AntiVir 7.9.0.204 2009.07.13 HEUR/Malware
Antiy-AVL 2.0.3.1 2009.07.10 -
Authentium 5.1.2.4 2009.07.13 -
Avast 4.8.1335.0 2009.07.13 -
AVG 8.5.0.387 2009.07.13 -
BitDefender 7.2 2009.07.13 BehavesLike:Trojan.UserStartup
CAT-QuickHeal 10.00 2009.07.10 -
ClamAV 0.94.1 2009.07.13 -
Comodo 1638 2009.07.13 -
DrWeb 5.0.0.12182 2009.07.13 -
eSafe 7.0.17.0 2009.07.13 Win32.HEURMalware
eTrust-Vet 31.6.6610 2009.07.13 -
F-Prot 4.4.4.56 2009.07.13 -
F-Secure 8.0.14470.0 2009.07.13 -
Fortinet 3.120.0.0 2009.07.13 -
GData 19 2009.07.13 -
Ikarus T3.1.1.64.0 2009.07.13 Backdoor.Win32.SpecTroj
Jiangmin 11.0.706 2009.07.13 -
K7AntiVirus 7.10.791 2009.07.13 -
Kaspersky 7.0.0.125 2009.07.13 -
McAfee 5675 2009.07.13 -
McAfee+Artemis 5675 2009.07.13 Artemis!2AA3BF9C8006
McAfee-GW-Edition 6.8.5 2009.07.13 Heuristic.BehavesLike.Win32.Downloader.L
Microsoft 1.4803 2009.07.13 -
NOD32 4240 2009.07.13 -
Norman 6.01.09 2009.07.13 -
nProtect 2009.1.8.0 2009.07.13 -
Panda 10.0.0.14 2009.07.12 -
PCTools 4.4.2.0 2009.07.13 -
Prevx 3.0 2009.07.13 -
Rising 21.38.04.00 2009.07.13 -
Sophos 4.43.0 2009.07.13 -
Sunbelt 3.2.1858.2 2009.07.13 -
Symantec 1.4.4.12 2009.07.13 -
TheHacker 6.3.4.3.366 2009.07.12 -
TrendMicro 8.950.0.1094 2009.07.13 -
VBA32 3.12.10.8 2009.07.12 -
ViRobot 2009.7.13.1833 2009.07.13 -
VirusBuster 4.6.5.0 2009.07.13 -
weitere Informationen
File size: 55588 bytes
MD5...: 2aa3bf9c8006b25c303980add00c7094
SHA1..: 63becca03c1e7424f4718d85ffe4bc1035709854
SHA256: ef356d3b31f8a1c3901d7cacd1d6e18e4727a2ab9679ca75a682be9b55d0bba5
ssdeep: 768:OPrjVjf1iOsZ7ccgOumwOxMPGYdOuIqPLojSeNsEyEA0Hhw:erNEOoTwO+ht
Pk9Hi

PEiD..: -
TrID..: File type identification
MinGW32 C/C++ Executable (91.6%)
Win32 Executable Generic (3.1%)
Win32 Dynamic Link Library (generic) (2.8%)
Win16/32 Executable Delphi generic (0.7%)
Generic Win/DOS Executable (0.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1240
timedatestamp.....: 0x4a577868 (Fri Jul 10 17:20:40 2009)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3f44 0x4000 5.35 55c228d442f3e6bc1c10d28c2ed9a41e
.data 0x5000 0x2c0 0x400 2.49 3ca06447bf93b83f3938a741be2a11c5
.rdata 0x6000 0x200 0x200 5.34 4fcdc71444a46244dc0ac130e4b494eb
.bss 0x7000 0xb0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x8000 0xc34 0xe00 4.36 7264091a92174a8d0db9dcd50ca93afa
.rsrc 0x9000 0xd4c 0xe00 3.93 fdac77f15974a1919d3afcfd3d82a402

( 6 imports )
> ADVAPI32.DLL: AllocateAndInitializeSid, FreeSid, RegCloseKey, RegOpenKeyA, RegQueryValueExA, RegSetValueExA
> GDI32.dll: BitBlt, CreateCompatibleBitmap, CreateCompatibleDC, DeleteDC, DeleteObject, GetBitmapBits, GetObjectA, SelectObject
> KERNEL32.dll: AddAtomA, CloseHandle, CopyFileA, CreateMutexA, CreateThread, CreateToolhelp32Snapshot, ExitProcess, FindAtomA, FreeLibrary, GetAtomNameA, GetCurrentProcessId, GetEnvironmentVariableA, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, GetProcessId, GetSystemDirectoryA, GetTickCount, LoadLibraryA, OpenMutexA, OpenProcess, Process32First, Process32Next, ReadProcessMemory, SetUnhandledExceptionFilter, Sleep, TerminateProcess, TerminateThread, VirtualAllocEx, VirtualFreeEx, WriteProcessMemory, lstrcatA, lstrcmpiA
> msvcrt.dll: __getmainargs, __p__environ, __p__fmode, __set_app_type, _cexit, _iob, _onexit, _setmode, abort, atexit, calloc, fflush, fprintf, free, malloc, memcmp, memcpy, memset, printf, puts, rand, signal, strcmp, strcpy, strlen, strstr
> SHELL32.DLL: ShellExecuteA, ShellExecuteExA
> USER32.dll: AllowSetForegroundWindow, BlockInput, DestroyWindow, EnumWindows, FindWindowA, FindWindowExA, GetDC, GetForegroundWindow, GetParent, GetSystemMetrics, GetWindowLongA, GetWindowRect, GetWindowTextA, GetWindowThreadProcessId, IsWindowVisible, LoadBitmapA, SendMessageA, SetCursorPos, SetForegroundWindow, SetLayeredWindowAttributes, SetWindowLongA, ShowWindow, mouse_event

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-

2. Malewarebytes

Zitat:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 3

13.07.2009 22:16:03
mbam-log-2009-07-13 (22-16-03).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|I:\|)
Durchsuchte Objekte: 125946
Laufzeit: 12 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)