Hier der GMER-Log: File-Upload.net - gmer.txt
Über eine Neuinstallation habe ich natürlich auch schon nachgedacht. Falls dieser Log jetzt auch wieder keinen Aufschluss über das Rootkit/Virus/Trojaner bieten sollte, werde ich mein System wohl neu aufsetzen.

Da scheint der Schädling die essentielle Datei atapi.sys manipuliert zu haben. Hast Du eine stinknormale Windows-XP-Setup da?

Ich habe noch eine XP-Home-CD da, aber mein aktuelles Betriebssystem ist Vista :dummguck:

Ich habe die entsprechende Datei mal bei VirusTotal hochgeladen. Ergebnis:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.12.16 -
AhnLab-V3 5.0.0.2 2009.12.16 -
AntiVir 7.9.1.108 2009.12.16 -
Antiy-AVL 2.0.3.7 2009.12.16 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.16 -
AVG 8.5.0.427 2009.12.16 -
BitDefender 7.2 2009.12.16 -
CAT-QuickHeal 10.00 2009.12.16 -
ClamAV 0.94.1 2009.12.16 -
Comodo 3264 2009.12.16 -
DrWeb 5.0.0.12182 2009.12.16 -
eSafe 7.0.17.0 2009.12.16 -
eTrust-Vet 35.1.7178 2009.12.16 -
F-Prot 4.5.1.85 2009.12.15 -
F-Secure 9.0.15370.0 2009.12.16 -
Fortinet 4.0.14.0 2009.12.16 -
GData 19 2009.12.16 -
Ikarus T3.1.1.78.0 2009.12.16 -
K7AntiVirus 7.10.922 2009.12.16 -
Kaspersky 7.0.0.125 2009.12.16 -
McAfee 5833 2009.12.15 -
McAfee+Artemis 5833 2009.12.15 -
McAfee-GW-Edition 6.8.5 2009.12.16 Heuristic.BehavesLike.Win32.Rootkit.H
Microsoft 1.5302 2009.12.16 -
NOD32 4693 2009.12.16 -
Norman 6.04.03 2009.12.15 -
nProtect 2009.1.8.0 2009.12.16 -
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.16 -
Prevx 3.0 2009.12.16 -
Rising 22.26.02.04 2009.12.16 -
Sophos 4.48.0 2009.12.16 -
Sunbelt 3.2.1858.2 2009.12.16 -
Symantec 1.4.4.12 2009.12.16 -
TheHacker 6.5.0.2.094 2009.12.15 -
TrendMicro 9.100.0.1001 2009.12.16 -
VBA32 3.12.12.0 2009.12.16 -
ViRobot 2009.12.16.2092 2009.12.16 -
VirusBuster 5.0.21.0 2009.12.16 -

McAfee-GW-Edition scheint also tatsächlich was in dieser Datei gefunden zu haben.

Achja, stimmt Du hast ein Vista :D
Na dann machen wirs mit der Vista-DVD. Der Fund in der atapi.sys dürfte ein Fehlalarm sein. Ich vermute aber, dass ein Rootkit doch die Datei verändert und und jeden Zugriff auf die atapi.sys auf die "echt" umlenkt. Boote daher mal von der Vista-DVD, geh in die Wiederherstellungskonsole / Eingabeaufforderung. Dort diesen Befehl ausführen:

Rechner wieder normal booten und die atapi.sys direkt auf C: nochmal auswerten lassen.

Gleiches Ergebnis bei Virustotal.
Jetzt schlägt sogar noch Norton Internet Security Alarm, dass es "Backdoor.Tidserv.I!inf" in c:\atapi.sys gefunden hat.
Was ich noch festgestellt habe: Das Änderungsdatum der Datei stimmt mit dem ersten Auftrittsdatum der falschen Weiterleitung überein.

So, genau die atapi.sys wollte ich haben. Bitte c:\atapi.sys bei Virustotal auswerten lassen.
Keine Angst, die Datei kannst Du so ohne weiteres nicht ausführen, also Zugriffe immer erlauben!

Die Auswertung bei virustotal ist die gleiche, wie bei der anderen Datei:
Allerdins sagt Norton bereits, dass der Fehler in der Datei behoben wurde.

Hm ja, hätte ich erwähnen sollen, dass Norton nichts mit der Datei machen darf :(

Geh nochmal in die Wiederherstellungskonsole und führ diese 2 Befehle aus

Wobei X: für den Buchstaben des Laufwerks mit der Vista-DVD steht. Bei Abfrage die atapi.sys überschreiben mit Ja bestätigen!
Wenn der 2. Befehl erfolgreich war, neu starten (normal Vista von Platte), achte darauf, dass Norton die Datei c:\atapi.bad in Ruhe lässt!!
Diese dann bitte erneut bei Virustotal auswerten lassen.

Den 2ten befehl konnte ich leider nicht ausführen, da ich den Laufwerksbuchstaben nicht weiß. Ich werde es danach erneut probieren.
Hier das Ergebnis von virustotal:

Den Ordner i386 gibt es auf der Vista-DVD gar nicht!

Ok. Die c:\atapi.sys und atapi.bad kannst Du löschen. Lade Dir dann diese atapi.sys herunter direkt auf c:\ und geh wieder mit der Vista-DVD in die Wiederherstellungskonsole. Diesen Befehl ausführen:

Die Überschreibwarnung mit J bestätigen. Boote Dein Vista danach wieder normal und mach einen neuen Durchlauf mit GMER.

Vieleb Dank!
Werde jetzt noch mal GMER durchlaufen lassen. Die Programme, die vorher nicht mehr liefen, gehen jetzt aber schon mal wieder.

Hier der neue GMER-Log: File-Upload.net - gmer.txt

Hm sieht gut aus :) Die Atapi.sys wurde ersetzt. Mach nochmal bitte einen neuen Durchlauf mit Malwarebytes