Hallo..wer kann mir helfen?!

Sobald ich den Explorer öffne zeigt mir AntiVir an, daß 1. der Trojaner Agent.KT vorhanden ist. Wenn ich löschen eingegeben habe, erscheint danach wieder eine 2. AntiVir-Warnung, daß der Trojaner Lefeat.DLL1 vorhanden ist. Ich habe schon mehrfach versucht, diese zu löschen, aber sobald ich den Explorer aufrufe erscheinen Sie erneut und jedesmal in einer anderen Datei. Ich habe bereits mit "escan" meinen PC gescannt und er hat mir eine Unzahl von befallenen Dateien aufgezeigt. Wie kann ich diese Probleme beheben und vor allem dieses Trojaner entfernen?
Gruß S.

Hi,

hast Du dein system im abgesicherten Modus gescannt und alle Haken gesetzt und Scan All Files aktiviert. Das wäre richtig dann teile mal das Ergebnis mit. Sieht so aus

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

wenn mach es noch mal wie oben beschrieben

Danke für die schnelle Antwort!

Also ich leider kein Profi am PC, habe aber im "nicht abgesicherten Modus" gescannt. Die Ergebnisse habe ich mir in eine Worddatei kopiert ich habe sie unten aufgelistet:

File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\atlaw.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File C:\Programme\DelFin\PromulGate\PgMonitr.exe infected by "not-a-virus:AdWare.DelphinMediaViewer.b" Virus. Action Taken: No Action Taken.
File C:\Programme\DelFin\PromulGate\PgSDK.DLL infected by "not-a-virus:AdWare.DelphinMediaViewer.d" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\SF1F0~1.JEN\LOKALE~1\Temp\22.tmp.exe infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\msch32.dll infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.
File C:\Programme\DelFin\PromulGate\PgMonitr.exe infected by "not-a-virus:AdWare.DelphinMediaViewer.b" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\SF1F0~1.JEN\LOKALE~1\Temp\22.tmp.exe infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\atlaw.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\isawc.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\NDNuninstall4_88.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\NDNuninstall5_40.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\bdeinsta25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\bdeinsta3.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\BDESac10.dll infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\BDESac24.dll infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\hrezg.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\SF1F0~1.JEN\LOKALE~1\Temp\22.tmp infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\SF1F0~1.JEN\LOKALE~1\Temp\BDECache\bde19.tmp infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\SF1F0~1.JEN\LOKALE~1\Temp\BDECache\bde20.tmp infected by "not-a-virus:AdWare.BrilliantDigital.3566" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\SF1F0~1.JEN\LOKALE~1\Temp\BDECache\bde22.tmp infected by "not-a-virus:AdWare.BrilliantDigital.3563" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\SF1F0~1.JEN\LOKALE~1\Temp\BDECache\bde26.tmp infected by "not-a-virus:AdWare.BrilliantDigital.35692" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\SF1F0~1.JEN\LOKALE~1\Temp\BDECache\bde28.tmp infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\SF1F0~1.JEN\LOKALE~1\Temp\BDECache\bde2A.tmp infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\S.Jennewein\Lokale Einstellungen\Temp\22.tmp infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\S.Jennewein\Lokale Einstellungen\Temp\22.tmp.exe infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\S.Jennewein\Lokale Einstellungen\Temp\BDECache\bde19.tmp infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\S.Jennewein\Lokale Einstellungen\Temp\BDECache\bde20.tmp infected by "not-a-virus:AdWare.BrilliantDigital.3566" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\S.Jennewein\Lokale Einstellungen\Temp\BDECache\bde22.tmp infected by "not-a-virus:AdWare.BrilliantDigital.3563" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\S.Jennewein\Lokale Einstellungen\Temp\BDECache\bde26.tmp infected by "not-a-virus:AdWare.BrilliantDigital.35692" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\S.Jennewein\Lokale Einstellungen\Temp\BDECache\bde28.tmp infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\S.Jennewein\Lokale Einstellungen\Temp\BDECache\bde2A.tmp infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.
File C:\Programme\DelFin\PromulGate\PgSDK.DLL infected by "not-a-virus:AdWare.DelphinMediaViewer.d" Virus. Action Taken: No Action Taken.
File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-2210005112-516276246-1282138258-1005\Dc4.EXE infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
File C:\virus und trojaner\addrc.txt infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.
File C:\virus und trojaner\tibs5.txt infected by "Trojan-Dropper.Win32.Tibsis.b" Virus. Action Taken: No Action Taken.
File C:\virus und trojaner\virussysxv32.txt infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\BDE\b3dsetup.exe infected by "not-a-virus:AdWare.BrilliantDigital.1100" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\BDE\bdedetect1.dll infected by "not-a-virus:AdWare.BrilliantDigital.1007" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\BDE\BDEengine3.dll infected by "not-a-virus:AdWare.BrilliantDigital.3563" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\BDE\BDEplayer3.dll infected by "not-a-virus:AdWare.BrilliantDigital.3566" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\BDE\BDEwrapper3.dll infected by "not-a-virus:AdWare.BrilliantDigital.35692" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\BDE\Cache\bdedetect1.dll infected by "not-a-virus:AdWare.BrilliantDigital.1007" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\isawc.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\NDNuninstall4_88.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\NDNuninstall5_40.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\bdeinsta25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\bdeinsta3.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\BDESac10.dll infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\BDESac24.dll infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\hrezg.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temp\Adware\SaveNowInst.exe infected by "not-a-virus:AdWare.SaveNow.ar" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temp\Brilliant\b3d3200package.cab infected by "not-a-virus:AdWare.BrilliantDigital.1007" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temp\Brilliant\b3dsetup.exe infected by "not-a-virus:AdWare.BrilliantDigital.1100" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temp\Brilliant\bdeinsta25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Take


wenn ich doch nochmal scannen sollte sag mir Bescheid..

Grüße S.

na das ist ja ne menge, ob da noch was zu retten ist?
Sicherer wäre Dein System neu auf zu setzen. Wenn Du mit Reparatur versuchen willst ich garantiere für nicht's

Also als erstes LSPFix und KillBox runterladen

Gehe in Systemsteuerung --> Software und deinstalliere wenn vorhanden NewNet oder NewdotNet,

Danach reparierst Du mit LSPFix Deine Internetverbindung

Wenn Du das gemacht hast öffne die KillBox -->Delete File on Reboot und lade jede von eSan erkannte Datei dort rein. Klick auf das rote Kreuz wenn Du gefragt wirst "Do you want to reboot" auf no klicken nächste rein usw. erst bei der letzten auf yes.

Nächster Schritt:
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

lasse danach eScan (aber dieses Mal im abgesicherten Modus) laufen und sehe ob noch was gefunden wird wenn ja KillBox verwenden

Neu booten
erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This



Ich glaube da hast Du jetzt erst mal ne Menge am Hut

Hallo,

danke noch für die Arbeitsanweisung...:-)) in der Tat ich hatte eine Menge zu tun.

Hier noch mein Hijack-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:27:09, on 19.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\javaxb.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\UI\RaConfig2500.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\S.Jennewein\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\isawc.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\isawc.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\isawc.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\isawc.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\isawc.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\isawc.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\isawc.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1A0CC390-C209-63C3-4985-B1E588DFBFB3} - C:\WINDOWS\system32\apiim32.dll
O2 - BHO: (no name) - {7E5AE60D-F853-2E2E-E13C-0B6C38249ABD} - C:\WINDOWS\addgk.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [javaxb.exe] C:\WINDOWS\javaxb.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Quicken 6 Deluxe Zahlungserinnerung.lnk = C:\Quicken6\Billmind.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RaConfig2500.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\UI\RaConfig2500.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Ach erwähnen muß ich noch folgendes:
trotz mehrfachen scannen mit "escan" und löschen der Einträge mit "Killbox",
erscheinen folgende 2 Einträge jedesmal, wenn ich diese Schritte erledigt habe. hier der letzte log:

Sat Feb 19 15:47:42 2005 => ***** Scanning complete. *****
Sat Feb 19 15:47:42 2005 => Total Files Scanned: 56601
Sat Feb 19 15:47:42 2005 => Total Virus(es) Found: 2
Sat Feb 19 15:47:42 2005 => Total Disinfected Files: 0
Sat Feb 19 15:47:42 2005 => Total Files Renamed: 0
Sat Feb 19 15:47:42 2005 => Total Deleted Files: 0
Sat Feb 19 15:47:42 2005 => Total Errors: 2
Sat Feb 19 15:47:42 2005 => Time Elapsed: 01:37:19
Sat Feb 19 15:47:42 2005 => Virus Database Date: 2005/02/14
Sat Feb 19 15:47:42 2005 => Virus Database Count: 118236

Sat Feb 19 15:47:43 2005 => Scan Completed.


File C:\WINDOWS\system32\addzv32.dll infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\addgk.dll infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

Gruß S.

damit Dir die Arbeit nicht ausgeht

als erstes solltest Du unbedingt Dein Windows updaten mit SP2 dann nächster Schritt das :hier
ausführen

wenn Du das erledigt hast

--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung

und fixe mit HJT folgende Eintrage:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\isawc.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\isawc.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\isawc.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\isawc.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\isawc.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\isawc.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\isawc.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {1A0CC390-C209-63C3-4985-B1E588DFBFB3} - C:\WINDOWS\system32\apiim32.dll
O2 - BHO: (no name) - {7E5AE60D-F853-2E2E-E13C-0B6C38249ABD} - C:\WINDOWS\addgk.dll

lösche von Hand (verwende die KillBox da hast Du ja Übung) folgende Dateien:

C:\WINDOWS\isawc.dll/sp.html#12345
C:\WINDOWS\system32\apiim32.dll
C:\WINDOWS\addgk.dll

folgende datei mal hier online scannen lassen und Ergebnis 10 Zeilen posten:

C:\WINDOWS\javaxb.exe

neu booten Systemwiederherstellung aktivieren neues HJT posten