Ich habe seit 3 Tage einen Virus. Norton AV hat den gefunden jedoch nicht repariert, nur geschrieben, dass File ll43g.dll (C:\Windpws\System32\) mit Downloader.Trojan infiziert. Lediglich online Kasperski-Programm hat folgendes gefunden:
ll43g.dll - infected by Trojan-Downloader.Win32.Small.acw


Was soll ich machen?

Vielen Dank vorab!

MFG Alex

Wenn die Datei verseucht ist, solltest du sie vielleicht löschen
Poste dann ein HijackThis Logfile:
kurze Beschreibung -> http://filepony.de/download-hijackthis/
ausführliche Beschreibung -> http://www.trojaner-board.de/51130-a...ijackthis.html

Ich kann leider diesen File nicht löschen, den Zugriff wird verweigert!
Übrigens, der LogFile von HijackThis:
Logfile of HijackThis v1.99.0
Scan saved at 00:16:01, on 14.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Sony Handheld\HOTSYNC.EXE
C:\WINDOWS\System32\atievxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\wincmd\WINCMD32.EXE
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Norton AntiVirus\OPScan.exe
D:\Eigene Dateien\sw\hi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Launcher] "C:\Programme\MLH\launcher.exe" /P
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Was soll ich weiter machen?
Danke,
MFG Alex

Logfile schaut eigentlich sauber aus.

C:\wincmd\WINCMD32.EXE <-kennst du??
Wenn nicht, hier überprüfen.

Schonmal versucht die Datei im abgesicherten Modus zu löschen?
Schon mit Amok DelayDel versucht?

btw: Windows ist nicht auf dem neusten Stand.

alternativ reicht HijackThis feature "delete a file on reboot" dafür aus. öffne hijackthis. klicke auf "open the misc tools section"
klicke "delete a file on reboot" an und dann suche die datei dort her die beim neustart gelöscht werden soll, in deinem fall im ordner c:\windows\system32 die datei ll43g.dll. wenn du soweit bist und die datei ausgewählt hast, wird er neustarten wollen. lassen ihn neustarten und schon sollte die datei gelöscht sein
jep haui45 hat recht, da fehlt das winxp sp2. lade es dir von dort runter.

Herzlichen Dank, mit Hilfe von Amok konnte ich File löschen!
Schönes Wochenende!
Alex

Ich habe noch eine Frage.
Welches Antivirusprogramm soll ich denn installieren? Mit NAV 2004 bin ich nicht zufrieden - diesen Trojaner hat das Programm zwar gesehen, aber konnte nicht eliminieren. Version NAV 2005 habe ich nicht. Was könnt Ihr mir empfehelen?
Mit Ad-Aware scane ich etwa einmal wöchentlich manuell.
Welches Firewall sollte man haben? Serice Park 2 werde ich heute-morgen installieren.
Noch mal vielen Dank.
MFG,
Alex

1.) Am besten holst du dir die Schädlinge gar nicht erst aufs System!
Als Einstieg kann ich dir diesen Artikel empfehlen.
2.) Gute Erkennungsraten haben z.B. Kaspersky oder F-Secure.
3.) "Firewall-Frage" -> Forensuche verwenden.