Hallo.

Habe seit einigen Tagen die Meldung von AVG AntiVirus (Free Edition) nach dem Hochfahren:

Virus
Trojan horse Downloader.Agent.4.BS
is found in file C:\WINDOWS\System32\msacmx.dll
To remove this virus, please run AVG for Windows

Die gleiche Nachricht erscheint auch immer wieder beim Öffnen jeglicher Programme, Dateien etc.

AVG findet auch jedesmal mindestens einmal den oben genannten Virus und gibt an er sei "healed". Trotzdem erscheint die Meldung immer wieder und AVG findet bei jedem Scan das gleiche Ergebnis.

Was soll ich tun?

Hier ein Beispiel des AVG Test Ergebnisses

C:\System Volume Information\_restore{25810347 ....... .dll
Trojan horse Downloader.Agent.4.BS
Healed ok

Und hier noch der HJT-Logfile:

le of HijackThis v1.98.2
Scan saved at 21:36:41, on 21.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\soundman.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\dllhostxp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\FNEASY\FNEASY.exe
C:\Dokumente und Einstellungen\Christian1\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: http://*.63.219.181.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E8D52F6-75D6-4EC7-A395-CC9A5D301E81}: NameServer = 62.104.191.241 62.104.196.134

Lösche diese Dateien im abgesicherten Modus:
C:\WINDOWS\System32\msacmx.dll
C:\WINDOWS\System32\dllhostxp.exe

Fixe diesen Eintrag:
O15 - Trusted Zone: http://*.63.219.181.7

Lade und scanne mit eScan AntiVirus wie beschrieben und entferne weitere Malware manuell.

btw: Deaktiviere die Systemwiederherstellung -> Neustart -> aktiviere sie wieder

Hi.

Nachdem ich den Anweisungen gefolgt bin, kam erst mal keine Virusmeldung mehr nach Hochfahren. Beim AVG-Check wurde dann aber doch noch eine infizierte Datei gefunden. Allerdings (nach manueller Suche) gab es diese gar nicht. Nach dem nächsten Hochfahren gabs dann auch keine Viren mehr beim Check.
Also nehm ich an, dass alles gut ist.

Vielen Dank für die Hilfe nochmal.

@judge

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

vielleicht findest du es jetzt

chaosman

Danke. Ist alles weg.

Bis demnächst (aber nicht zu bald hoffentlich).

Gruß an alle geplagten.