Trojaner-Board - Hilfe! Ich bin ein Spamversender. ANALYSE

Hi, ich bin neu hier.
Ich stelle mich mal kurz vor. Ich bin der Christian B. und bin Fachinformatiker. Aber ich komme mit den Trojaner trotzdem net klar.

Also zum Problem:
Mein Nachbar hat mal wieder einen Schädling.
Gestartet wird eine Datei namens ##modulap.exe (## ist eine zufällige Nummer) die im Profil TEMP-Ordner gespeichert werden.
Wenn man den Inhalt des TEMP-Ordner löscht wird nach einer Neuanmeldung eine neue ##modulap.exe erstellt.

Die Datei lädt erst von http://out.catchonlife.com/nw/r2.txt?jacx-1_7902_1477 eine datei

http://seekb.lootseek.com/d/s3.2.txt
http://seekv.lootseek.com/img/seek.cgi?lin=100&db=gaa
http://seekv.lootseek.com/img/seek.cgi?lin=100&db=gab
http://seekv.lootseek.com/img/seek.cgi?lin=100&db=gac
http://seekv.lootseek.com/img/seek.cgi?lin=100&db=gad
(und noch mehr….)

Die Datei s3.2.txt ist das template das sich alle paar Sekunden ändert:

Message-ID: <000001c642df$18528800$1a97a8c0@hnq65>
Reply-To: "{%NAME_FROM}" <{%MAIL_FROM}>
From: "{%NAME_FROM}" <{%MAIL_FROM}>
To: {%MAIL_TO}
Subject: Re: PfGaramcy news
Date: Wed, 8 Mar 2006 13:35:37 -0500
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0001_01C642B5.2F7C8000"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106

This is a multi-part message in MIME format.

------=_NextPart_000_0001_01C642B5.2F7C8000
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

OV=20
sVdiravgirla $ 6 m 9,95 (10 aV tabIet AT s)
gVnavIbidulm $ 1 e 05,45 (3 9Q 0 tabI vj ets)
aCwixauIbics $ h 99,95 (10 jQ tabI NI ets)
20=20
And m 41 any other http://wyt25.obosome.com

------=_NextPart_000_0001_01C642B5.2F7C8000
Content-Type: text/html;
charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =
charset=3Dus-ascii">
<META content=3D"MSHTML 6.00.2800.1106" name=3DGENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV>  =
OV </DIV>
<DIV>sVdiravgirla $ 6 m 9,95 (10 aV  tabIet AT =
s)</DIV>
<DIV>gVnavIbidulm $ 1 e 05,45 (3 9Q 0 tabI vj =
ets)</DIV>
<DIV>aCwixauIbics $ h 99,95 (10 jQ  tabI NI =
ets)</DIV>
<DIV>  =
20 </DIV>
<DIV>And m =
41 any other <A =
href=3D"http://wyt25.obosome.com">http://wyt25.obosome.com</A></DI=
V></BODY></HTML>
------=_NextPart_000_0001_01C642B5.2F7C8000--

Und die anderen Links die Adressen:

|Lucile Wigley|lucili@derol.com|Ermolai Ledesma|alfred_62@t-online.de|
|Maya Nakata|nakatamaya@engagenet.com|Caradog Deshaies|alfred_62yahoo.de@t-online.de|
|Agnese Patman|patmanuagnese@bicnet.net|Dareia Muth|alfred_630@dc.rr.com|
|Mica Rieder|riederimica@recoletos.es|Vilhelms Schaar|alfred_638@bizwi.rr.com|
|Jodene Patman|patman@ee007.com|Wenzel Nathanson|alfred_63@web.de|
|Petteri Durgan|petterii@lagmand.dk|Fannie Mozee|alfred_641@comcast.com|
|Yasu Beckwith|yas@citycouncil.org|Hartwig Johanson|alfred_6427@yahoo.com|
|Xenocrates Lescarbeau|lesca@tennessee.com|Quidel Sun|alfred_643@bizwi.rr.com|
|Hadyn Berkman|hadu@sccs.com.au|Augusto Mongiello|alfred_645@bizwi.rr.com|
|Shakuntala Whittlesey|shakunta@frametastik.com|Mira Rizer|alfred_651@yahoo.com|
|Mikhaila Collette|colleumik@hrs.forthnet.gr|Leda Haakenson|alfred_658@biz.rr.com|
|Colum Carboni|columcarboni@list.be|Evfemia Thresher|alfred_65@yahoo.com|
|Nima Leggett|nimaa@cmg.com|Dagny Prime|alfred_660@biz.rr.com|
|Alicia Kohout|alici@incube8.com|Kerri Soderberg|alfred_662@biz.rr.com|
|Huffie Tell|huffe@gcmhp.net|Theodosius Mcadoo|alfred_663@biz.rr.com|
|Yseult Merck|yseultmer@tnad.sk|Donalda Loan|alfred_664@biz.rr.com|
|Ghjuvan Victoria|ghjuy@forpresident.com|Femie Mountain|alfred_666@t-online.de|
|Jasmyn Nail|jasmonai@lrw-la.com|Wlodzimierz Townson|alfred_666yahoo.de@t-online.de|
|Aroldo Kirkley|aroldo@ky-in.bbb.org|Laurentiu Gothard|alfred_667@biz.rr.com|
|Noe Caffey|noee@hmtel.com|Adamo Kenner|alfred_668@biz.rr.com|
|Imam Hallberg|halimam@trumpetguild.org|Sylvaine Brew|alfred_671@biz.rr.com|

Was ist das für ein Schädling und wie bekomm ich ihn weg.