infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr

habs

Mein System scheint mit drei Trojanern:
exploit.wmf ; exploit.java.ByteVerify ; sploit[1].anr
infiziert zu sein.

Ich musste aber noch nie einen Virus/Trojaner jemals von einem System entfernen, habe also gar keine Erfahrungen damit.
Ich bitte Euch deshalb, mich zu begleiten und Euer Auge darauf zu halten, was und wie ich es tue.

2 installierte Scanner haben folgendes geliefert:

AVG free edition
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar:\BlackBox.class,
"Virus identified Java/ByteVerify","Infected, Embedded object"
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar:\VerifierBug.class,
"Virus identified Java/ByteVerify","Infected, Embedded object"
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar:\Beyond.class,
"Virus identified Java/ByteVerify","Infected, Embedded object"
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar,
"Virus identified Java/ByteVerify","Infected, Archive"
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHYZ89QN\xxx[1].wmf,
"May be infected by unknown virus Exploit.WMF","Infected"

antivir personal edition
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar
[0] Archivtyp: ZIP
--> BlackBox.class
[FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.2
--> VerifierBug.class
[FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.4
--> Dummy.class
[FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.3
--> Beyond.class
[FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.1
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHYZ89QN\xxx[1].wmf
[FUND] Enthält Signatur des Exploits EXP/MS06-001.WMF

Bem: der allererste Scan mit AVG hat eine weitere infizierte Datei automatisch (falsche Einstellung) gelöscht:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W5U3OLEB\sploit[1].anr


Was ich sonst noch getan habe:
1. Ich habe zuerst die trojaner-bord Seiten durchgeackert.
2. Da mir die obigen Virusbezeichnung unbekannt waren, habe ich nach Informationen und speziellen Entfernungstools gesucht (Google). Die uneinheitlichen Bezeichnungen der Viren in den Archiven hat mich aber vorerst eher behindert. Habe auch keine Spezialtools gefunden.
3. Ich habe mir von anderen Virenbezeichnungen ein Weiterkommen erhofft, und darum weitere virenscanner heruntergeladen und aufdatiert, soweit wie möglich installiert, aber nie einen Sytemneustart gemacht: Ad-aware SE Personal; spybot S&D; avast 4.6.
Das hat aber wenig bis nichts gebracht (ohne Neustart funktioniert das wohl nicht richtig)
4. Habe noch "HijackThis" vorbereitet, aber nicht angewendet.
5. Die System-Restore-Fkt. ist ausgeschaltet.
6. Alle AktivX- Elemente sind deaktiviert.
7. Alle Dateien werden angezeigt. (auch die geschützten Sytemdateien).
Bem: diesen Punkt habe ich erst nach den obigen Scans aktiviert.
8. Die obigen Scans habe ich notiert.


Verständnisfrage:
I. Nicht verstanden habe ich jene Tips, die empfehlen, alle IE-tempfliles und den JAVA-Cache zu löschen! Werden infizierte files durch die Scans dort nicht erfasst?

Fragen zum weiteren Vorgehen:
ich nehme an, dass die Scanner zum jetztigen Zeitpunkt noch nicht alle Viren gefunden haben, dass ich nochmals scannen muss.
Ich würde jetzt folgendes tun:
A. Die bereits gefundenen Viren löschen.
B. Kaltstart im abgesicherten Modus.
C. nochmals scannen, neu gefundene Viren löschen.
D. Kaltstart im abgesicherten Modus.
E. Hijack darüberlassen, zur Diskussion stellen.

vorerst mal soweit.
Ich bitte um Euere Kommentare.
Mach ich zuviel, zuwenig, oder ganz falsch?
Danke.

habs