Hi, ich hab mal wieder ein problem mit einem trojaner wahrscheinlich

Zuerst einmal hab ich auf meinen desktop ein wallpaper (?) wo drauf steht:
Warning! Spyware detected on your Computer! install an antivirus or spyware remover to clean your computer.
--->View the list of top spyware removers her<----

Dan wurde von meinen antivir die datei oleex.dll als virus erkannt welche sich in c:/windows/system32 befindet (W32/Nsag.B war es glaub ich). Ich selbst kann leider nix in der HijackThis loginfile nix sehen. Könnt ihr mir vieleicht helfen das ding zu entfernen?

Logfile of HijackThis v1.99.1
Scan saved at 19:41:16, on 29.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Avast AntiVir\aswUpdSv.exe
C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Avast AntiVir\ashServ.exe
C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Kerio Firewall\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Kerio Firewall\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\Michael\Desktop\ALLEDA~1\AVASTA~1\ashDisp.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Trojaner Check\Trojancheck 6\tcguard.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Kerio Firewall\Personal Firewall 4\kpf4gui.exe
C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\AdobeReader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\Michael\Desktop\ALLEDA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\DOKUME~1\Michael\Desktop\ALLEDA~1\AVASTA~1\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Trojaner Check\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE02A705-5D92-489B-A4DB-801EC2348256}: NameServer = 81.173.194.68 213.168.112.60
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Avast AntiVir\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Avast AntiVir\ashServ.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Kerio Firewall\Personal Firewall 4\kpf4ss.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

hallo,

also dein logfile scheint sauber zu sein..
zumindest kann ich nix auffölliges finden.
aber das es auch sauber bleibt würd ich dir raten sofort auf SP 2 upzudaten.
ansonsten ist es nur eine frage der zeit bis du wieder hier im board nach hilfe suchst.

gruß

Ja das logfile ist woll sauber, aber trotzdem ist immer noch der Schrifftzug (html seite C:\WINDOWS\warnhp.html) auf meinen desktop also muss ja was auf meinen pc sein oder?

also laut deinem logfile ist nix mehr auf deinem pc.
aber wenn du willst mach Hier einen Online Virenscan.
Dann kannst dir sicher sein.

Geh mit der Maus an den oberen Bildschirmrand, dann geht eine Menüleiste auf. Mit der kannst Du es beenden. Das ist das harmlose an der Sache

ah^^ fein danke^^
trotzdem mal warten was der onlinescanner sagt

Wusst ichs doch^^

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, December 29, 2005 20:38:57
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 29/12/2005
Kaspersky Anti-Virus database records: 158010
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Scan Statistics:
Total number of scanned objects: 65359
Number of viruses found: 12
Number of infected objects: 14
Number of suspicious objects: 0
Duration of the scan process: 1923 sec

Infected Object Name - Virus Name
C:\!KillBox\oleext.dll Infected: Trojan.Win32.Small.ev
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\omfg.class-352f55f0-577265b6.class Infected: Trojan-Downloader.Java.OpenStream.y
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\omfg.class-486c9904-5b06dd99.class Infected: Trojan-Downloader.Java.OpenStream.y
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-52feedd9-6c6c3ee5.zip/BlackBox.class Infected: Exploit.Java.ByteVerify
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-52feedd9-6c6c3ee5.zip/VerifierBug.class Infected: Exploit.Java.ByteVerify
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-52feedd9-6c6c3ee5.zip/Beyond.class Infected: Trojan-Downloader.Java.OpenConnection.aa
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-52feedd9-6c6c3ee5.zip Infected: Trojan-Downloader.Java.OpenConnection.aa
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-8fba448-2c368c1a.zip/GetAccess.class Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-8fba448-2c368c1a.zip/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-8fba448-2c368c1a.zip Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5NE1NNLP\full[1].anr Infected: Trojan-Downloader.Win32.Ani.c
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MPSFGD4Z\psg[1].anr Infected: Trojan-Downloader.Win32.Ani.c
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MTPEBMXS\xpl[1].wmf Infected: Trojan-Downloader.Win32.Agent.acd
C:\WINDOWS\system32\intell32.exe Infected: Trojan-Downloader.Win32.Small.vu
C:\WINDOWS\uninstIU.exe Infected: Trojan.Win32.Small.ev

Scan process completed.

Jemand eine idee wie ich die wieder runter bekomme? Wäre schön wen das ohne formatierung ginge^^

hallo,

naja war gut versteckt im log sieht man davon nix.
naja aber nun zum ernst der sache.
ich würde sagen die beste und sicherste sache ist dein system auch wenn du es nicht gern hörst nach anleitung in meiner signatur neu aufzusetzen.
dann biste auf der sicheren seite.
aber bitte genau die anweisungen befolgen udn daran halten.

Ach mist^^
Gibts keine andere möglich keit die zu entfernen?

wie schon gesagt alles ander wäre nix halbes und nix ganzes.
und würde dir auf dauer nix bringen.
deshalb gibt es nur eine sinnvolle lösung.

*seufs* Ok :/