Hallo garftermy,
vielen Dank für deine Tipps, aber leider haben sie in meinem Falle nicht gefruchtet.
Nachdem ich nochmals alle Updates von Adaware und Antivir aufgespielt und nach deiner Vorgehensweise gestartet habe, war ich eigentlich guter Hoffnung. Ein Doppelklick auf eine .txt Datei brachte allerdings immer noch den unerwünschten IE Start mit zugehöriger Antivir Fehlermeldung.
Mir war es schließlich zu blöd und dann habe ich mich selber mal auf die Suche begeben (für was hab' ich auch studiert :-) und siehe da - bin auch fündig geworden:
Ich habe zunächst in der Registry einen suspekten Redirect bemerkt, der eine .txt-Verknüpfung auf das Programm %WINDIR%\system32\notepad.exe %1 umleitet. Zufällig wusste ich aber, dass es auch ein notepad.exe im Windows-Root gibt...
Eine Suche in ..\system32 ergab ein 2k großes notepad.exe aus jüngster Vergangenheit!!!
Ich habe dieses dann zunächst einmal umbenannt und anschließend war der unerwünschte IE-Aufruf weg.
Eine weitere Suche in der Registry ergab unzählige Stellen, die alle auf das falsche "notepad.exe" verwiesen (ich hab alle gelöscht, anschließend die Dateitypen neu zugeordnet)
Ich kam deshalb zu folgendem Schluss:
Bei dem (nicht originalen) Programm notepad.exe handelt es sich um einen Trojaner, der zunächst die Registry dahingehend verbiegt, dass alles was "notepad.exe" heißt durch "system32\notepad.exe" ersetzt wird (hauptsächlich in HKEY_CLASSES_ROOT), zusätzlich ein neuer Schlüssel angelegt wird, der "notepad" ebenfalls dahin verweist.
Bei Aufruf eines .txt, .bat, .ini, .inf, ... Files per Doppelklick startet das falsche notepad.exe und kopiert eine .exe in das Verzeichnis "Temporary Internet Files", wo es dann von Antivir aufgespürt wird.
Mir ist jetzt nur nicht ganz klar, warum mein Antivir so problemlos über das notepad.exe im system32-Pfad gelaufen ist.
Falls jemand an dem notepad.exe zur weiteren Analyse interessiert ist, bitte melden, dann schicke ich es ihm zu.
GarfTermy
