Der link mit der auswertedatei bei escan, anleitung mit router, kann das sein das das nur ein dokument ist, wo ganz viel geschrieben steht?wie soll ich das denn runterladen?
das geht so los:

@echo off
REM Version 2007.05.07.01
REM
REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen.
REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge.
REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten,
REM freiwilligen sowie unfreiwilligen Tester....

ist das überhaupt richtig so?????

also hier schonmal das mit dem hijack:

Logfile of HijackThis v1.99.1
Scan saved at 16:21:14, on 10.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\Hijack_programm\hijackthis\HijackThis.exe
C:\Programme\HijackThis\Hijack_programm\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://download.zonelabs.com/bin/media/pdf/zaclient60_user_manual.pdf
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Picture Motion Browser Medienprüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Zitat:

Zitat von Orchidea

ist das überhaupt richtig so?????

Nein. Du sollst die Datei nicht öffnen oder bearbeiten sondern speichern und per Doppelklick starten. Wenn die datei bei Doppelklick Dir den obigen Text angibt, hast Du Mumu gespeichert und musst den Namen der Datei auf "find.bat" ändern.

was?versteh ich jetzt nicht, was soll ich machen, wenn ich das ding runterladen will muss ich doch doppelt draufklicken, also auf denn link?und dann kommt gleich der text. welchen namen soll ich denn ändern?

Du kannst auch einfach den gesamten Text markieren und in einen Texteditor kopieren. Das ganze dann unter dem Namen "find.bat" speichern und du hast was du willst.
EDIT: Oder so wie Mighty das macht.

Zitat:

Zitat von Orchidea

was?versteh ich jetzt nicht, was soll ich machen, wenn ich das ding runterladen will muss ich doch doppelt draufklicken, also auf denn link?und dann kommt gleich der text. welchen namen soll ich denn ändern?

Maus über den Link halten >> rechte Maustaste >> Ziel speichern ...

oh jetzt , alles klar, danke, werde das jetzt mal machen....
noch eine frage: muss ich jetzt antivir und zonalarm alles ausschalten?

Zitat:

Zitat von Orchidea

oh jetzt , alles klar, danke, werde das jetzt mal machen....
noch eine frage: muss ich jetzt antivir und zonalarm alles ausschalten?

Am besten beides. AntiVir damit es eScan nicht bei der Arbeit behindert, Zonealarm damit es das Update (bitte mehrere Male probieren - die Funktion ist nicht 100%ig) nicht behindert.

hab ichs doch gewusst, das irgendwas nicht stimmt.hat der escan doch was gefunden, krieg ich das jetzt noch weg? ist das sehr gefährlich, ich würde es gerne löschen: und was soll das mit dem passwort geschützt heißen, hab ich da doch was falsch gemacht?muss dazu sagen der rechner ist durch 4 benutzerkonten getrennt, 3 haben ein passwort, liegt das daran?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.07.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.2
Sprache: German
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\MWAV.LOG
C:\Dokumente und Einstellungen\admin\Desktop\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei D:\Daten_Uwe\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\DrunkMouse.exe markiert als not-virus:BadJoke.Win32.MovingMouse.a. Keine Aktion vorgenommen.
Datei D:\Daten_Uwe\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\floppy.exe/floppy.exe markiert als not-virus:BadJoke.Win32.MADFlop.a. Keine Aktion vorgenommen.
Datei D:\Daten_Uwe\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\Finger\finger.exe markiert als not-virus:BadJoke.Win32.Finger.b. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\reboot.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\admin\LOKALE~1\Temp\GLB56.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\admin\LOKALE~1\Temp\GLB60.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\admin\LOKALE~1\Temp\GLBF.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\admin\LOKALE~1\Temp\GLB43.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\GLB22.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\A***\Lokale Einstellungen\Temp\GLB8.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\A***l\Lokale Einstellungen\Temp\xt1ecs4e.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\A***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FVQRYKCJ\pllangs[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\U***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VVUCJKRT\SkypeSetup[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XC9QCYGU\SkypeSetup[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9W6MURWB\SkypeSetup[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\GLB56.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\GLB60.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\GLBF.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\GLB43.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 138814
Gefundene Viren: 4
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 367
Dauer des Scans bisher: 01:19:46
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 18:31:23,20
Batchende: 18:31:56,51