Virus, Angriffe? z.B. Intrusion.Win.NETAPI.buffer-overflow

[Mariüs]

Man legte mir nahe, mich mit meinem Anliegen an dieses Forum zu wenden...

Mein Rechner wird andauernd aus dem Internet angegriffen, Kaspersky bringt derzeit beinah im Minutentakt Meldungen über abgewehrte Angriffe. Das sieht dann zum Beispiel so aus:



Gibt es was, was ich dagegen tun kann?
Und wenn gar nichts hilft: Wäre Formatieren ein probates Mittel, damit das auch wirklich hinterher aufhört?

Falls ich formatieren sollte: Ich würde gerne vorher die Daten sichern, indem ich sie aufs Notebook ziehe. Mit einem normalen Patchkabel (wie ich es fürs Internet nutze) hats nicht geklappt, was bräuchte ich denn dafür für ein Kabel?

Fragen über Fragen. Vielleicht hat ja wer Antworten parat.

Vor einigen Tagen (als ich mich noch auf AntiVir verließ) kam außerdem dauernd die Meldung, dass Proxy.Horst (oder ähnlich) gefunden wurde - der Zugriff wurde stets verweigert. Vielleicht hängt das ja zusammen oder ist sogar das Gleiche...

Vielen Dank für jede Hilfe schon einmal!

[gipsy111]

Erstellen eines Hijackthis-Logfiles

http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

[Mariüs]

Logfile of HijackThis v1.99.1
Scan saved at 19:39:06, on 13.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Lexmark 1200 Series\lxczbmgr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark 1200 Series\lxczbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\ICQ\Icq.exe
C:\WINDOWS\system32\svchost.exe
C:\DOKUME~1\MARIUS~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.olb.de/olb_fb3_1806/startIE.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\T-Eumex 220PC\routcnf.exe /capiactive
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [navapp] C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[Nikita]

virustotal
Oben auf der Seite --> auf Durchsuchen klicken -->die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\msmsgs.exe

poste den report

---------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Folders to delete:
C:\Programme\NavExcel

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

[Mariüs]

Complete scanning result of "msmsgs.exe", received in VirusTotal at 09.14.2006, 12:52:19 (CET).

Antivirus Version Update Result
AntiVir n - no virus found
Authentium n - no virus found
Avast n - no virus found
AVG n - no virus found
BitDefender n - no virus found
CAT-QuickHeal n - no virus found
ClamAV n - no virus found
DrWeb n - no virus found
eTrust-InoculateIT n - no virus found
eTrust-Vet n - no virus found
Ewido n - no virus found
Fortinet n - no virus found
F-Prot n - no virus found
F-Prot4 n - no virus found
Ikarus n - no virus found
Kaspersky n - no virus found
McAfee n - no virus found
Microsoft n - no virus found
NOD32v2 n - no virus found
Norman n - no virus found
Panda n - no virus found
Sophos n - no virus found
Symantec n - no virus found
TheHacker n - no virus found
UNA n - no virus found
VBA32 n - no virus found
VirusBuster n - no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

----------

Da in dem system32-Ordner liegen auch allerhand komischer Dateien...

----------

Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\klibhmql

*******************

Script file located at: \??\C:\vospdimj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Folder C:\Programme\NavExcel not found!
Deletion of folder C:\Programme\NavExcel failed!

Could not process line:
C:\Programme\NavExcel
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

[Nikita]

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

[Mariüs]

CleanUp ist durchgelaufen.

datfind:

Datentr„ger in Laufwerk C: ist 422579
Volumeseriennummer: A849-BF3F

Verzeichnis von C:\WINDOWS\system32

11.09.2006 21:40 1.158 wpa.dbl
29.07.2006 19:32 48.936 sirenacm.dll
10.06.2006 10:53 57.384 avsda.dll
02.06.2006 00:11 421.888 pxdrv.dll
02.06.2006 00:11 109.568 pxinsi64.exe
02.06.2006 00:11 172.032 pxmas.dll
02.06.2006 00:11 372.736 px.dll
02.06.2006 00:11 61.440 pxhpinst.exe
02.06.2006 00:11 56.320 pxinsa64.exe
02.06.2006 00:11 339.968 pxwave.dll
02.06.2006 00:10 3.596.288 qt-dx331.dll
02.06.2006 00:09 53.248 dpuGUI10.dll
02.06.2006 00:09 90.112 dpl100.dll
02.06.2006 00:09 593.920 dpuGUI11.dll
02.06.2006 00:09 200.704 dtu100.dll
02.06.2006 00:09 344.064 dpus11.dll
02.06.2006 00:09 57.344 dpv11.dll
02.06.2006 00:09 294.912 dpu11.dll
02.06.2006 00:09 294.912 dpu10.dll
02.06.2006 00:08 700.416 divxdec.ax
02.06.2006 00:07 4.276 divxsm.tlb
02.06.2006 00:07 536.576 DivXsm.exe
02.06.2006 00:07 15.331 dsm_de.qm
02.06.2006 00:07 10.716 dsm_ja.qm
02.06.2006 00:07 15.172 dsm_fr.qm
02.06.2006 00:07 352.401 DivXMedia.ax
02.06.2006 00:07 1.044.480 libdivx.dll
02.06.2006 00:07 200.704 ssldivx.dll
02.06.2006 00:06 778.240 divx_xx07.dll
02.06.2006 00:06 778.240 divx_xx0c.dll
02.06.2006 00:06 761.856 divx_xx11.dll
02.06.2006 00:06 619.156 DivX.dll
02.06.2006 00:06 12.288 DivXWMPExtType.dll
02.06.2006 00:06 118.784 DivXCodecUpdateChecker.exe
02.06.2006 00:06 8.523 dpude.qm
02.06.2006 00:06 3.136 dtu_de.qm

Datentr„ger in Laufwerk C: ist 422579
Volumeseriennummer: A849-BF3F

Verzeichnis von C:\DOKUME~1\MARIUS~1\LOKALE~1\Temp

14.09.2006 16:40 40.960 rtdrvmon.exe
14.09.2006 16:32 0 JETC445.tmp
14.09.2006 16:31 16.384 ~DF1347.tmp
3 Datei(en) 57.344 Bytes
0 Verzeichnis(se), 115.372.953.600 Bytes frei

Datentr„ger in Laufwerk C: ist 422579
Volumeseriennummer: A849-BF3F

Verzeichnis von C:\WINDOWS

14.09.2006 16:39 375.071 WindowsUpdate.log
14.09.2006 16:32 0 0.log
14.09.2006 16:32 159 wiadebug.log
14.09.2006 16:32 50 wiaservc.log
14.09.2006 16:31 2.048 bootstat.dat
14.09.2006 16:30 32.626 SchedLgU.Txt
13.09.2006 18:26 397 lexstat.ini
07.09.2006 11:47 116 NeroDigital.ini
05.09.2006 08:39 2.359.350 Firefox Wallpaper.bmp
03.09.2006 21:06 80.964 wmsetup.log
02.09.2006 22:04 155 winamp.ini
02.09.2006 18:36 423.841 setupapi.log
02.09.2006 17:19 391 nsw.log
28.08.2006 14:39 331.182 setupact.log
16.08.2006 22:05 227 system.ini
16.08.2006 22:05 514 win.ini
02.08.2006 15:41 100 dellstat.ini
24.07.2006 11:42 7.680 Thumbs.db
18.07.2006 11:26 121 GEARInstall.log
04.07.2006 14:17 12.862 EPISMG00.SWB

Datentr„ger in Laufwerk C: ist 422579
Volumeseriennummer: A849-BF3F

Verzeichnis von C:\

14.09.2006 16:42 0 sys.txt
14.09.2006 16:41 9.503 system.txt
14.09.2006 16:41 388 systemtemp.txt
14.09.2006 16:40 103.914 system32.txt
14.09.2006 16:31 526.962.688 hiberfil.sys
14.09.2006 16:31 792.723.456 pagefile.sys
14.09.2006 13:53 1.790 _audioscrobbler.log
14.09.2006 13:16 1.274 avenger.txt
30.08.2006 15:39 4 timeStmp.tmp
22.08.2006 22:39 232 sqmdata01.sqm
22.08.2006 22:39 244 sqmnoopt01.sqm
22.08.2006 22:39 232 sqmdata00.sqm
22.08.2006 22:39 244 sqmnoopt00.sqm
16.08.2006 22:05 211 boot.ini
11.07.2006 14:29 168 setupfax.log

[Nikita]

Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\msmsgs*.*" > c:\find.txt & start notepad c:\find.txt

[Mariüs]

Datentr„ger in Laufwerk C: ist 422579
Volumeseriennummer: A849-BF3F

Verzeichnis von c:\Programme\Messenger

22.02.2005 08:55 1.611.488 msmsgs.exe
1 Datei(en) 1.611.488 Bytes

Verzeichnis von c:\WINDOWS\I386

04.08.2004 14:00 5.233 MSMSGS.CA_
04.08.2004 14:00 9.039 MSMSGS.IN_
2 Datei(en) 14.272 Bytes

Verzeichnis von c:\WINDOWS\inf

04.08.2004 14:00 104.030 msmsgs.inf
19.05.2005 12:26 88.400 msmsgs.PNF
2 Datei(en) 192.430 Bytes

Verzeichnis von c:\WINDOWS\Prefetch

15.09.2006 12:58 58.104 MSMSGS.EXE-32066BA5.pf
1 Datei(en) 58.104 Bytes

Verzeichnis von c:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}

04.08.2004 14:00 9.581 MSMSGS.CAT
1 Datei(en) 9.581 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

04.08.2004 14:00 9.581 MSMSGS.CAT
1 Datei(en) 9.581 Bytes

Anzahl der angezeigten Dateien:
8 Datei(en) 1.895.456 Bytes
0 Verzeichnis(se), 113.630.261.248 Bytes frei

-----------------------

Der Proxy.Horst hat sich übrigens auch wieder gemeldet.

[Nikita]

der Virus war drauf, ist aber nur noch im Prefetch vorhanden............

Verzeichnis von c:\WINDOWS\Prefetch

15.09.2006 12:58 58.104 MSMSGS.EXE-32066BA5.pf
1 Datei(en) 58.104 Bytes

loesche:
C:\WINDOWS\system32\msmsgs.exe

c:\WINDOWS\Prefetch\MSMSGS.EXE-32066BA5.pf


Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

Windows Worms Doors Cleaner anwenden - setze alles auf gruen
http://virus-protect.org/windsdoorcleaner.html


--------------------------------------------------------------------------------

dein Rechner ist immer noch verseucht, aber nun den Loader zu finden, ist sehr schwer, wenn nicht mal der kaspersky es loescht....

es kann sein, dass ports geoeffnet sind, wo er Zugang hat.
http://virus-protect.org/artikel/tools/icesword.html

scanne mit allen scannern, die im Proggie sind und berichte, wenn was gefunden wurde
http://virus-protect.org/multiavtool.html



------------------------------------------------------------------------------