Hallo,

ich habe ein Problem: Mein PC ist anscheinend mit scareware und adware infiziert und öffnet selbstständig einfach irgendwelche Werbungsfenster oder Sicherheitswarnungen, dass mein PC infiziert sei. Außerdem hat er einen Windows System Defender ohne Meine Zustimmung heruntergeladen.

Am Dienstag Abend ist plötzlich ein Fenster aufgetaucht, das Windows System Defender hieß, aber weiß blieb. Gleichzeitig sind mehrere Fenster mit Werbung geöffnet worden, die ich geschlossen habe., ebenso den Windows Defender. Dann kam eine Meldung: Your computer has been highly infected by viruses. This can cause serious data loss and action needs to be taken. Die Meldung konnte weder durch Abbrechen noch durch Schließen geschlossen werden.

Dann habe ich gesehen, dass eine Verknüpfung zu Windows System Defender auf meinem Desktop war. Ich habe Rechtsklick auf das Symbol gemacht und wollte mir die Eigenschaften anzeigen lassen, aber dann öffnete sich nur ein Fenster, dass die Datei irgendwas nicht gefunden werden konnte. Es war eine der Dateien, die Avira in der anschließenden Systemüberprüfung gefunden hat. Die Verknüpfung habe ich gelöscht.

Avira hatte 7 Funde und verschob diese in Quarantäne und meldete außerdem, dass einige der Funde nur durch Löschen bei Neustart zu entfernen sein, weshalb ich jetzt neustarten solle. Das habe ich getan und danach konnte der Antivir Guard Dienst nicht mehr gestartet werden (der Schirm bei dem Antivirsymbol blieb geschlossen).

Daraufhin habe ich stinger von McAfee heruntergeladen und durchlaufen lassen, aber es wurde nichts gefunden. Dann habe ich Malwarebytes' Anti-Malware heruntergeladen, der 150 infizierte Objekte fand. Auch bei Malwarebytes wurde mir gesagt, ich solle Neustarten, weil einige Programme nur durch Löschen bei Neustart entfernt werden können. Das habe ich getan.

Dann war ich im Internet und wollte winrar herunterladen. Beim Klick auf den ersten Googletreffer (winrar.com) öffnete sich plötzlich ein Fenster, dass eine Ordnerübersicht zeigte, u.a. Shared Documents, darunter stand: 17 trojans und in dem Fenster war ein Balken, der sehr schnell voll wurde, ich hab schnell auf schließen geklickt, um nichts zu installieren...

Dann habe ich Avira deinstalliert und stattdessen AVG-AntiVirus installiert. Dieser fand 1 Infektion und 293 Warnungen, die er alle in die Quarantäne verschob.

Bei RTSI kam folgende Meldung: for some reason your system denied write access to the hosts file. if any hijacked domains are in this file, hijack may NOT be able to fix this. if that happesn, you need to edit the file yourself. to do this click start run and type notepad C:\windows\system32\drivers\etc\hosts and press enter. finde the line(s) hijackthis reports and delete them. save the file as "hosts.'

Muss ich das machen?
Und was kann ich gegen den Virus tun, ich befürchte, er befindet sich immer noch auf meinem PC.

Vielen Dank für eure Hilfe im Voraus!

Bei dem Infektionspotenzial ist wohl Hopfen und Malz verloren.

Da ist auch eine beschädigte HOSTS - Datei nicht schlimm, sollte so aussehen:

Code: Alles auswählenAufklappen

ATTFilter

127.0.0.1       localhost
::1             localhost
         

Der zweite Eintrag ist für IPv6.

Du kannst gern auf das Helferteam warten und Dich tagelang damit rumquälen (mit den Trojanern), es wird nicht viel bringen.

hm, das klingt nicht so ermutigend.
ich habe jetzt gesehen, dass noch jemand das problem mit windows system defender hat und da wurde empfohlen, super antispyware downzuloaden. das habe ich getan und ich hänge den log an... das programm hatte 2 sachen gefunden...
es kommt jetzt eigentlich keine werbung mehr oder so und das internet geht gerade auch wieder normal schnell. (vielleicht liegt das allerdigns daran, dass gerade zum ersten mal seit 2 tagen keine vollständige systemüberprüfung im hintergrund läuft...) woran merke ich, dass die viren wirklich alle wieder weg sind?

Hallo Zusammen;-)

Ich muss mich leider mit dem selben Problem an euch wenden mir zeigt er seit gestern auch diese warnungen, habe laut dem systems defender 28 Trojaner.

was kann ich da machen ich hab da überhaupt keinen plan von, der normale windows defender fand gestern gerade mal 2 trojaner die ich löschte, heute ist aber wieder das gleiche problem.

wäre euch für ein bisschen hilfe echt sehr dankbar;-)

hast du schon diese ganzen sachen gemacht, CCleaner, Malwarebytes und RSTI (und SuperAntiSpyware). Links zu denen gibts in der Anleitung, was man machen soll, bevor man hier reinschreibt und zur SUPERAntiSpyware gibts den Link in dem Thread "Windows System Defender nicht mehr zu löschen". Vielleicht wird das aber auch automatisch zum Link, wenn ich das hier poste ;-)
Auf jeden Fall hat vor allem der Malwarebytes bei mir sehr viel gefunden dann... Aber das Problem gelöst hab ich auch immer noch nicht, weil bei jeder vollständigen Systemüberprfung wieder irgendwelche tracking cookies gefunden werden, wobei das aber nur unter Warnungen fällt und nicht mehr unter Bedrohungen, also ich weiß nicht...

Hab ich vorhin gemacht seit dem war nix mehr aber ich möchte auch sicher gehen das auch wirklich alles runter ist die Dateien hat er gefunden :







Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3059
Windows 6.0.6000

30.10.2009 10:09:22
mbam-log-2009-10-30 (10-08-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 231843
Laufzeit: 1 hour(s), 5 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://search-gala.com/?&uid=220&q={searchTerms}) Good: (http://www.Google.com/) -> No action taken.

Infizierte Verzeichnisse:
C:\Users\Tim&Sabrina\AppData\Roaming\Windows System Defender (Rogue.WindowsSystemDefender) -> No action taken.

Infizierte Dateien:
C:\Users\Tim&Sabrina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GYRFI4QC\vista_8b4e0[1].exe (Rogue.WindowsEnterpriseDefender) -> No action taken.
C:\Users\Tim&Sabrina\AppData\Local\Temp\xmarwecsno.exe (Trojan.Downloader) -> No action taken.
C:\Users\Tim&Sabrina\AppData\Local\Temp\sonrewcmax.exe (Adware.Mirar) -> No action taken.
C:\Users\Tim&Sabrina\AppData\Local\Temp\spool.exe (Rootkit.TDSS) -> No action taken.
C:\Users\Tim&Sabrina\AppData\Local\Temp\anmorxeswc.exe (Trojan.FakeAlert) -> No action taken.
C:\Users\Tim&Sabrina\AppData\Local\Temp\swrxnacoem.exe (Rootkit.TDSS) -> No action taken.
C:\Users\Tim&Sabrina\AppData\Local\Temp\syslog.exe (Trojan.Downloader) -> No action taken.
C:\Users\Tim&Sabrina\AppData\Roaming\Windows System Defender\cookies.sqlite (Rogue.WindowsSystemDefender) -> No action taken.
C:\Users\Tim&Sabrina\AppData\Roaming\Windows System Defender\Instructions.ini (Rogue.WindowsSystemDefender) -> No action taken.
C:\Users\Tim&Sabrina\AppData\Roaming\Microsoft\Windows\Start Menu\Windows System Defender.lnk (Rogue.WindowsSystemDefender) -> No action taken.
C:\Users\Tim&Sabrina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows System Defender.lnk (Rogue.WindowsSystemDefender) -> No action taken.
C:\Program Files\ICQToolbar\toolbaru.dll (Trojan.BHO) -> No action taken.




dann hab ich den jetzt gerade noch mal gescannt aber den schnellen scann und er fand nichts hier der log.

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3059
Windows 6.0.6000

30.10.2009 14:32:57
mbam-log-2009-10-30 (14-32-57).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 90769
Laufzeit: 5 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)




die frage ist nur ob ich mich darauf verlassen kann????

bis jetzt kam nix mehr, kann mir nur nicht vorstellen das alles soeinfach weg ist.

was meint ihr??

über hijack log sind ist der windows system defender noch zu sehen


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:09:26, on 29.10.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16916)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\opwareSE2.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Fisher-Price\FP3 Player\sspnotifier.exe
C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\ProgramData\a9b2d0f\WSa9b2.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Windows\system32\conime.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [recinfo243] c:\RecInfo\RecInfo.exe
O4 - HKLM\..\Run: [NapsterShell] C:\Program Files\Napster\napster.exe /systray
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Program Files\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" -r "C:\Program Files\ScanSoft\OmniPageSE2.0\EregGer\ereg.ini"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [MBBalloon] C:\Program Files\HOTALBUMMyBOX\MBBalloon.exe
O4 - HKLM\..\Run: [SSP Notifier] C:\Program Files\Fisher-Price\FP3 Player\sspnotifier.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [StartCCC] c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Windows System Defender] "C:\ProgramData\a9b2d0f\WSa9b2.exe" /s /d
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\Freenet\Common\Database\bin\fbserver.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

--
End of file - 9083 bytes


was könnte ich noch tun???

huhu

wollte mal vorsichtig nachfragen ob vielleicht jemand helfen könnte?

liebe grüße sabrina

hm, ich weiß ja leider auch nicht..
bei mir ist es jetzt so, dass der avg antivirenscanner immer einen virus: Packed.Monder identifiziert und zwar mit dem dateipad WINDOWS\System32\csrss.exe
aber löschen kann er den anscheinend nicht, denn der taucht bei jedem suchdurchlauf wieder auf. im taskmanager in den prozessen kann man ihn auch nicht beenden, dann kommt: Task-Manager konnte diesen kritischen Prozess nicht beenden. und löschen kann man ihn auch nicht.
was kann man da machen?

Also den csrss würde ich nicht abschiessen, ist ein Windowsprozess.

Bei mir war es der WSa9b2.exe welcher sich nicht beenden ließ. Erst der Process Manager (www.zdnet.de/windows_system_verbessern_ef_process_manager_download-39002345-527-1.htm) ermöglichte mir das Killen des Prozesses, so dass ich dann auch die entsprechende Datei löschen konnte. Anschliessend ließ ich nochmals Malwarebytes durchlaufen, habe mir die Avira Rescue Disc gebrannt ( http://www.avira.de/de/support/support_downloads.html) und laufen lassen und ein abschliessendes HijackThis gefahren.

Es scheint soweit wieder clean zu sein, werde es jedoch die nächsten Tage genau überwachen.

Danke ich habs durch ganz viel hilfe hier im forum geschafft ihn weg zu bekommen