Trojaner-Board - Explorer will nicht mehr

Nabend allerseits.

Als Vorwort: Ich habe schon Stunden mit Google verbracht und ein anderes Supportboard konnte mir auch nicht wirklich weiterhelfen.

Es ist mir egal ob Daten jetzt ausgelesen oder protokolliert werden, diesen PC benutze ich nur zum Spielen und für Musik, ich will nur einen stabilen Explorer :)

Ein Freund hat mir ein Spiel empfohlen und das wollte ich gleich mal austesten, leider war die Website des Herstellers nicht zu erreichen, also habe ich mir einen Mirror ergoogelt.
Installer runtergeladen, wollte ausführen, NOD32 motzt schon mal.
Habe auf Block Threat geklickt, den Installer gelöscht, und gleich den Papierkorb geleert, dann hat es begonnen.

Der Explorer war weg, und nach wenigen Sekunden hat er sich wieder blicken lassen, immer und immer wieder bis ich ihn als er da war via Taskmanager gekillt habe.

Inzwischen habe ich schon Komplettscans mit SUPER.AntiSpyware, NOD32, SpyBot - Search&Destroy und ein paar Nonames hinter mir.
Des Weiterem habe ich rausgefunden dass sämtliche Daten im Ordner "C:\Windows\AppPatch" damit zusammenhängen, von denen ich leider nur die .dlls im abgesicherten Modus entfernen konnte.
Der Rest wird durch ein Rootkit für mich unsichtbar und unerreichbar gemacht.

Das andere Supportboard an das ich mich wand, welches mir auch ein paar der Scanner empfohlen hatte, verschrieb mir auch den "Rootkit Hook Analyzer".
Leider war nichts merkwürdiges damit festzustellen.

Darauf habe ich wieder ein wenig herumgegoogelt und folgte dem Rat SUPER.AntiSpyware (ich hasse diesen Namen) im abgesicherten Modus rennen zu lassen.
Gesagt, getan, und es wurde wirklich ein neuer Schädling gefunden.
Im normalen Modus bekomme ich aber immer 2mal die Fehlermeldung "Invalid floating point operation", und zwar jedes Mal wenn der Explorer auftaucht, einmal mit dem roten Kreis und dem weißen X in der Mitte, und einmal dasselbe ohne dem Kreis. (Wer sich darunter nichts vorstellen kann, ich kann ein Screenshot davon hochladen)

Nach einigen Experimenten wollte ich dann schauen ob der "Rootkit Hook Analzyer" etwas Neues findet, also habe ich ihn gestartet, und jetzt spuckt der mir diese 2 Fehlermeldungen ins Gesicht, dafür aber kann der Explorer ohne diese beiden starten, um wenige Sekunden danach wieder zu verrecken.

So viel zu meinen bisherigen Versuchen und Observationen.

Mir wurde auch geraten die Repairdisk mal laufen zu lassen, wo das nächste Problem ist, die hat nämlich einen Kratzer auf dem Label und kann nicht gelesen werden, wo sich eine Frage bei mir auftut.

Angenommen ein Freund würde eine .iso von seiner Kopie der Windows XP CD hochladen, und ich würde diese in ein emuliertes Laufwerk (via Daemon Tools, ISO Buster etc.) "legen", würde /scannow dann noch immer funktionieren und ich könnte beschädigte/korrupierte Systemdaten reparieren/austauschen?

Ich hoffe hier kann mir jemand helfen :)

Hier dann noch mein HJT Log.
EDIT: Das zensierte = SUPER.AntiSpyware, warum auch immer jemand beschlossen hat dieses aus dem Forum zu verbannen.

Code:

Logfile of HijackThis v1.99.1

Scan saved at 21:40:59, on 21.10.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\MSN Messenger\msnmsgr.exe

C:\Programme\****************\****************.exe

C:\Programme\Eset\nod32krn.exe

C:\Programme\Real\RealPlayer\realplay.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe

C:\Programme\MSN Messenger\usnsvc.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\rundll32.exe

C:\Dokumente und Einstellungen\Beed9\Desktop\hijackthis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O1 - Hosts: 209.172.59.193 www.murof2.tk

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173899531859

O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://193.226.122.235/activex/AMC.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programme\Eset\nod32krn.exe