Hallo , ich hoffe ihr könnt mir helfen , ich habe seit kurzem ein Trojaner der von Antivir entdeckt wird nur egal was ich mache der kommt immer wieder, ich hab schon stinger, search and destroy und lavasoft adaware drüber laufen lassen nur kommt er immer wieder
er kommt allerdings nur in einem user , ich habe 3 user auf dem pc , bei den anderen schlägt antivr nicht alarm

ich habe mal einen hijack this log gemacht und den virus hochgeladen(virus total) zum überprüfen (weiss nicht genau was das ist , kollege hat mir das empfohlen)
hier die logs
ah nochwas mir ist aufgefallen das antivir auch anschlägt und die gleiche meldung bringt wenn ich den internet expolorer einschalte, benutze sonst firefox .

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:33:09, on 03.09.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Dokumente und Einstellungen\Privat\Startmenü\Programme\Autostart\Uninstall0.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Privat\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - C:\DOKUME~1\Privat\LOKALE~1\Temp\MegaHost.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Uninstall0.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe

--
End of file - 4228 bytes


Virus total log

AhnLab-V3 2007.9.11.1 2007.09.12 Win-Trojan/Xema.variant
AntiVir 7.6.0.5 2007.09.12 ADSPY/BestSearch.A
Authentium 4.93.8 2007.09.12 W32/Trojan.AHHW
Avast 4.7.1043.0 2007.09.11 Win32:Trojan-gen. {UPX!}
AVG 7.5.0.485 2007.09.12 Startpage.BDR
BitDefender 7.2 2007.09.12 Generic.Malware.dld!!sp!.F1437C4A
CAT-QuickHeal 9.00 2007.09.12 Trojan.StartPage.rn
ClamAV 0.91.2 2007.09.12 Trojan.Startpage-409
DrWeb 4.33 2007.09.12 Trojan.StartPage.20141
eSafe 7.0.15.0 2007.09.12 Win32.StartPage.rn
eTrust-Vet 31.1.5128 2007.09.12 -
Ewido 4.0 2007.09.12 Adware.BestSearch
FileAdvisor 1 2007.09.12 -
Fortinet 3.11.0.0 2007.09.12 Adware/BestSearch
F-Prot 4.3.2.48 2007.09.12 W32/Trojan.AHHW
F-Secure 6.70.13030.0 2007.09.12 Trojan.Win32.StartPage.rn
Ikarus T3.1.1.12 2007.09.12 Trojan.Win32.StartPage.rn
Kaspersky 4.0.2.24 2007.09.12 Trojan.Win32.StartPage.rn
McAfee 5117 2007.09.11 Generic.eg
Microsoft 1.2803 2007.09.12 Trojan:Win32/Startpage!5BF0
NOD32v2 2524 2007.09.12 Win32/TrojanDownloader.Small.NSZ
Norman 5.80.02 2007.09.12 -
Panda 9.0.0.4 2007.09.12 Adware/BestSearch
Prevx1 V2 2007.09.12 -
Rising 19.40.22.00 2007.09.12 Trojan.Win32.StartPage.rn
Sophos 4.21.0 2007.09.12 Mal/Generic-A
Sunbelt 2.2.907.0 2007.09.12 MegaSearch
Symantec 10 2007.09.12 Adware.BestSearch
TheHacker 6.1.10.184 2007.09.11 -
VBA32 3.12.2.4 2007.09.12 Trojan.Win32.StartPage.rn
VirusBuster 4.3.26:9 2007.09.12 Trojan.StartPage.AJO
Webwasher-Gateway 6.0.1 2007.09.12 Ad-Spyware.BestSearch.A

weitere Informationen
File size: 5120 bytes
MD5: f05b63cbf73091f14a23043109e7d450
SHA1: 1c03123bf6fdfa391d43da7f4e5d818b573d6402
packers: UPX
packers: UPX
packers: UPX
Sunbelt info: MegaSearch is a browser helper object for Internet Explorer that modifies search behavior and changes the default SearchAssistant. MegaSearch also displays popup ads.


also wie kriee ich den Mist weg ?

Wenn sich die seuberung noch lohnt

SYSTEM UPDATEN

Service Pack 2 fehlt!
(Dazu auch die jeweiligen updates...

Oh ja, bitte updaten.
Ansonsten wär interessant zu wissen, was AntiVir wo (d. h. in welchem Pfad) gefunden hat und welche Datei du bei Virustotal hochgeladen hast.

ich habe das hier hochgeladen
C:\Dokumente und Einstellungen\Privat\Startmenü\Programme\Autostart\Uninstall0.exe

ja updaten sollte ich , aber ich muss ihn trotdem noch wegbekommen. geht das ? wenn ja mit was ?

sorry , irgendwie steht hier jetzt das 2 mal und ich finde den löschknopf nicht

antivir zeigt das an

PictureUpload (Hosted By PictureUpload.de)

Okay, dann werte bei Virustotal auch die Datei aus, die AntiVir gemeldet hat. Den Pfad kannst du ja dem Screenshot entnehmen.

Ich klinke mich an dieser Stelle aus. Denn wenn AntiVir auf einem System, das seit mehreren Jahren kein Update gesehen hat, schon einen "Agent" findet, dann ist meiner Meinung nach Neuaufsetzen angesagt.

Denn die Schädlinge, die AntiVir findet oder die im HijackThis-Logfile sichtbar sind, sind wahrscheinlich nur die Spitze des Eisbergs. Du kannst selbst sehen, dass der "Agent" aus dem Screenshot nicht im HJT-Logfile auftaucht.

Aha , ok werde ich das mal machen , kenne mich damit eben nicht aus , es ist ein Bürorechner von meinem Chef und der ist 64 und weiss grad wie man ihn anmacht und e-mails liest.