Hallo,
seit dem 09.01 bekomme ich vom Antivir guard regelmäßig Virenwarnungen, führe ich einen Scan durch wird er aber nicht fündig.
Es handelt sich um HTML/Infected.WebPage.Genum im Verzeichnis E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CTAVOPYV\******.htm

(*****=anticheat[1], serarch[1], serarch[2], smartsearch[1], portal[3],oder ip[1])

Es kommen immer 6-7 Warnungen und erst wenn ich sie in Quarantäne schiebe hört es auf.

Auf Lösungssuche bin ich auf dieses Forum gestoßen und habe eScan und HijackThis durchlaufen lassen und es scheint so, als ob ich mir einen Trojaner eingefangen habe. Meine Frage ist ob ich noch etwas anderes drauf habe und ob wie in diesem Thread gesagt auch bei mir notwendig sein wird, das System neu aufzusetzen und wenn ob es reicht, nur die Windows partition zu formatieren.
Wenn mir jemand weiterhelfen könnte wäre ich sehr Dankbar.

Lieben Gruß Moritz

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:57:18, on 20.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\system32\devldr32.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\WINDOWS\system32\niSvcLoc.exe
E:\WINDOWS\system32\perfs.exe
E:\WINDOWS\system32\PSIService.exe
E:\WINDOWS\system32\routing.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\nipalsm.exe
E:\WINDOWS\system32\nipalsm.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrayServer] C:\Programme\Magix\TrayServer.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B5D2536-A30A-403A-BB20-008EF1640981}: NameServer = 213.191.74.12,213.191.92.86
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8D5F67F-4572-4E62-90D6-8AFD161DD145}: NameServer = 213.191.74.12,213.191.92.86
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Common\Database\bin\fbserver.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: nidevldu - National Instruments Corporation - E:\WINDOWS\system32\nipalsm.exe
O23 - Service: NILM License manager - Macrovision Corporation - C:\Programme\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: nipxirmu - National Instruments Corporation - E:\WINDOWS\system32\nipalsm.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - E:\WINDOWS\system32\niSvcLoc.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: perfmons Service (perfmons) - Unknown owner - E:\WINDOWS\system32\perfs.exe
O23 - Service: ProtexisLicensing - Unknown owner - E:\WINDOWS\system32\PSIService.exe
O23 - Service: Routing Service (Routing) - Unknown owner - E:\WINDOWS\system32\routing.exe

--
End of file - 5456 bytes

Virus total ergab:

Zitat:

Datei routing.exe empfangen 2008.01.20 12:25:03 (CET)
Status: Beendet
Ergebnis: 5/32 (15.63%)
Drucken der Ergebnisse
Antivirus Version
letzte
aktualisierung
Ergebnis
AhnLab-V3 2008.1.19.10 2008.01.18 -
AntiVir 7.6.0.48 2008.01.20 -
Authentium 4.93.8 2008.01.20 -
Avast 4.7.1098.0 2008.01.20 -
AVG 7.5.0.516 2008.01.19 -
BitDefender 7.2 2008.01.20 Trojan.Agent.Delf.FQ
CAT-QuickHeal 9.00 2008.01.19 -
ClamAV 0.91.2 2008.01.20 -
DrWeb 4.44.0.09170 2008.01.20 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5470 2008.01.18 -
Ewido 4.0 2008.01.20 -
FileAdvisor 1 2008.01.20 -
Fortinet 3.14.0.0 2008.01.20 -
F-Prot 4.4.2.54 2008.01.19 -
F-Secure 6.70.13260.0 2008.01.19 -
Ikarus T3.1.1.20 2008.01.20 Trojan.Agent.Delf.FQ
Kaspersky 7.0.0.125 2008.01.20 -
McAfee 5211 2008.01.18 -
Microsoft 1.3109 2008.01.20 -
NOD32v2 2807 2008.01.19
a variant of
Win32/TrojanDownloader.Delf.OBC
Norman 5.80.02 2008.01.18 -
Panda 9.0.0.4 2008.01.19 -
Prevx1 V2 2008.01.20 Generic.Rootkit
Rising 20.27.62.00 2008.01.20 -
Filter
VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis http://www.virustotal.com/de/analisis/b4d67da9b749faf04448c29678a...
2 von 2 20.01.2008 12:29
Sophos 4.24.0 2008.01.20 -
Sunbelt 2.2.907.0 2008.01.17 -
Symantec 10 2008.01.20 -
TheHacker 6.2.9.191 2008.01.19 -
VBA32 3.12.2.5 2008.01.19
suspected of
Backdoor.XiaoBird.150 (paranoid
heuristics)
VirusBuster 4.3.26:9 2008.01.20 -
Webwasher-Gateway 6.6.2 2008.01.20 -
weitere Informationen
File size: 32256 bytes
MD5: 3240aac8540893eaac76c7c438842200
SHA1: 89f1f7d43a3f6155061d4d96484bae46f1d66665
PEiD: -
Prevx info:
http://info.prevx.com/aboutprogramtext.asp?PX5=54BD10C900696B747EB400038D2C34006EB4F40F

Zitat:

Datei perfs.exe empfangen 2008.01.17 21:29:56 (CET)
Status: Beendet
Ergebnis: 3/32 (9.38%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.18.10 2008.01.17 -
AntiVir 7.6.0.48 2008.01.17 -
Authentium 4.93.8 2008.01.17 -
Avast 4.7.1098.0 2008.01.17 -
AVG 7.5.0.516 2008.01.17 -
BitDefender 7.2 2008.01.17 -
CAT-QuickHeal 9.00 2008.01.17 -
ClamAV 0.91.2 2008.01.17 -
DrWeb 4.44.0.09170 2008.01.17 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5465 2008.01.17 -
Ewido 4.0 2008.01.17 -
FileAdvisor 1 2008.01.17 -
Fortinet 3.14.0.0 2008.01.17 -
F-Prot 4.4.2.54 2008.01.16 -
F-Secure 6.70.13260.0 2008.01.17 -
Ikarus T3.1.1.20 2008.01.17 Trojan.Agent.Delf.FQ
Kaspersky 7.0.0.125 2008.01.17 -
McAfee 5210 2008.01.17 -
Microsoft 1.3109 2008.01.17 -
NOD32v2 2802 2008.01.17 Win32/TrojanDownloader.Delf.OBC
Norman 5.80.02 2008.01.17 -
Panda 9.0.0.4 2008.01.17 -
Prevx1 V2 2008.01.17 Generic.Rootkit
Rising 20.27.31.00 2008.01.17 -
Sophos 4.24.0 2008.01.17 -
Sunbelt 2.2.907.0 2008.01.17 -
Symantec 10 2008.01.17 -
TheHacker 6.2.9.189 2008.01.17 -
VBA32 3.12.2.5 2008.01.15 -
VirusBuster 4.3.26:9 2008.01.17 -
Webwasher-Gateway 6.6.2 2008.01.17 -
weitere Informationen
File size: 32768 bytes
MD5: 38fcd204490728753e6981ec4f32a2b8
SHA1: 7a5fea5c2c1efedf632fdfff17df4da14556024f
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=95E716CE00CDB95A80A5003FE196F80000807074

ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas.

Ups, vielleicht kann ein mod das verschieben, hab gerade gesehen, das es im falschem unterforum ist.

Hier ist ein frischer escan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.6.4
Sprache: German
Virus-Datenbank Datum: 1/19/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_users\.default\software\microsoft\internet explorer\main/display inline videos)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei E:\WINDOWS\system32\ndt2.sys infiziert von "Trojan-Downloader.Win32.Delf.dsx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{28F77E3B-1BBC-48E6-B0FA-A6A1E95FD96D}\RP179\A0048035.exe//file13 infiziert von "Trojan.Win32.Obfuscated.en" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\WINDOWS\system32\ndt2.sys infiziert von "Trojan-Downloader.Win32.Delf.dsx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File E:\DOKUME~1\Mori\LOKALE~1\Temp\NeroDemo12547\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File E:\Dokumente und Einstellungen\Mori\Lokale Einstellungen\Temp\NeroDemo12547\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: E:\Dokumente und Einstellungen\Mori\Lokale Einstellungen\temp\nerodemo12547\toolbar.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f1d7473-c256-11db-bf3a-00a0b01a6b1d} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in {4f1d7473-c256-11db-bf3a-00a0b01a6b1d}\Shell\AutoRun\command: E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\RECYCLER\S-1-5-21-1060284298-1202660629-854245398-1003\Dc276\Alcohol 120\DevSupp.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
E:\Programme\Ovis\pdf-Recover\lib\properties nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
E:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 104925
Gefundene Viren: 8
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 192
Dauer des Scans bisher: 02:21:19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 16:05:40,86
Batchende: 16:05:46,99

push, selbes problem hier