Trojaner-Board - Tofger-infiziert, wie entfernen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Tofger-infiziert, wie entfernen (https://www.trojaner-board.de/7249-tofger-infiziert-entfernen.html)

Tofger-infiziert, wie entfernen

Hallo,
habe diesen "Trojaner" über die Forums-Suche hier gesucht und leider nichts gefunden. Infiziert ist ein W2K SP4, IE 5.5 GER, AntiVir mit den neusten Updates meldet immer wieder eine Infizierung mit dem Tofger Trojaner. Einen Trojaner dieser Art soll es nach der symantec-Datenbak geben.
Typische Meldung von AntiVir ist:
"C:\WINDOWS\SYSTEM32\ADDZY.EXE
Ist das Trojanische Pferd TR/Spy.Tofger.BI.2"
Angebenes Programm ist entweder eine EXE oder eine DLL, Name ist immer wieder anders.
IE wird oft zu einer search-to-find-Site umgeleitet. Habe alle üblichen und hier auf der Hauptseite aufgezählten Programm in der neusten Version angewandt, bekommen ihn aber nicht weg.
Wer kann helfen? [Neuinstallation wäre das letzte Mittel, das ich anwenden will.] GGf. wäre auch wichtig, ob AntiVir nicht einfach spinnt, da die anderen Programme NICHTS finden.

merz

P.S.: HiJack This Log ist:

Logfile of HijackThis v1.97.7
Scan saved at 12:40:52, on 01.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\addhk32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\MZ\HJacked Bacup\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\hcqcv.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hcqcv.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\hcqcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\hcqcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hcqcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\hcqcv.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\hcqcv.dll/sp.html#29126
O2 - BHO: (no name) - {76558A55-90AE-81AD-3B53-B36989DABBC7} - C:\WINDOWS\system32\msjc.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce
O4 - HKLM\..\Run: [addhk32.exe] C:\WINDOWS\system32\addhk32.exe
O4 - HKLM\..\RunOnce: [addzc.exe] C:\WINDOWS\system32\addzc.exe
O4 - HKLM\..\RunOnce: [d3lg.exe] C:\WINDOWS\d3lg.exe
O13 - WWW. Prefix: http://
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/ieloader.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35652CC2-D865-427F-858E-4944A70F8C7B}: NameServer = 195.50.140.250 145.253.2.203

Halli Hallo,

also frisch ans Werk bevor einer meiner Kollegen mir wieder zuvor kommt :D

Alle Sachen die ich Dir nun sage, bitte im abgesicherten Modus erledigen.
Danke für Ihre Aufmerksamkeit :blabla:

Folgende Einträge sind zu fixen :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\hcqcv.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hcqcv.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\hcqcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\hcqcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hcqcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\hcqcv.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\hcqcv.dll/sp.html#29126
O2 - BHO: (no name) - {76558A55-90AE-81AD-3B53-B36989DABBC7} - C:\WINDOWS\system32\msjc.dll

O4 - HKLM\..\Run: [addhk32.exe] C:\WINDOWS\system32\addhk32.exe
O4 - HKLM\..\RunOnce: [addzc.exe] C:\WINDOWS\system32\addzc.exe
O4 - HKLM\..\RunOnce: [d3lg.exe] C:\WINDOWS\d3lg.exe
O13 - WWW. Prefix: http://
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/ieloader.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Folgende Dateien bitte als Zip File zusammen packen, mit nem passwort wie 1234 zippen und an mich senden (PW nicht vergessen) eMail wäre : guide-alby(at)gmx.de

C:\WINDOWS\d3lg.exe
C:\WINDOWS\system32\addzc.exe
C:\WINDOWS\system32\addhk32.exe

Danach eScan runterladen, entpacken, starten und das System scannen. Danach erneut Log posten.

Gruß
Andy

Tachchen,
ich hab so ziemlich das selbe Problem wie Leidensgenosse merz ausser der Antivir Meldung:

C:\WINDOWS\IEUNINST.EXE:ISNNZ
Ist das Trojanische Pferd TR/Spy.Tofger.BI.2

und hier mein Hijack This Log:

Logfile of HijackThis v1.98.2
Scan saved at 13:02:10, on 01.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\javakm.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Wacom\TabUserW.exe
C:\Programme\Intel\ASF Agent\ASFAgent.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\ATI Technologies\Fire GL Control Panel\atiisrgl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\loadhttp.dll:potvn
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Daten\downloads\Programme\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/d...en/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xtzdi.dll/sp.html#29836
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tutorials.de/forum6
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {008602DA-BF96-4343-F9AA-6322853BD842} - C:\WINDOWS\syswi.dll
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [FRYHIGHRES] rundll32 "C:\Programme\ATI Technologies\Fire GL Control Panel\atipmogl.dll",DetectHighResMonitor
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [javakm.exe] C:\WINDOWS\javakm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TabUserW.lnk = C:\Programme\Wacom\TabUserW.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windo..._5.3.0.228.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab

Hab mich zwar schon fast damit abgefunden, dass ich eine Neuinstallation durchziehen muss, wär aber trotzdem toll wenn ichs mir sparen könnte.

Poe

Hallo Andy,

das ging ja rasend schnell, vielen Dank.

Diese drei Dateien, sind auf dem System leider nicht zu finden (was mache ich falsch)?

C:\WINDOWS\d3lg.exe
C:\WINDOWS\system32\addzc.exe
C:\WINDOWS\system32\addhk32.exe

merz

@Merz :

Du hast vielleicht versteckte Dateien und Systemdateien deaktiviert, muttu sichtbar machen.
Geh in einen beliebigen Ordner und dann :

Extras -> Ordneroptionen -> Ansicht -> Versteckte Dateien und Ordner : Alle Dateien und Ordner anzeigen

Damit solltest Du versteckste Malware zu Gesicht bekommen ;)

@POE :
Bei Dir kann man auch noch was machen :)
Bitte folgende Einträge löschen (im abgesicherten Modus) :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xtzdi.dll/sp.html#29836
O2 - BHO: (no name) - {008602DA-BF96-4343-F9AA-6322853BD842} - C:\WINDOWS\syswi.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/c...DC_1_0_0_44.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/contro...eb/ikcntrls.cab

dann noch ein paar Ratschläge für Dich POE, bitte Internet Explorer UPDATEN, der ist etwas alt, den Du hast *g* und dementsprechend sind viele Sicherheitslücken drauf, dann noch dein System Updaten (Service Pack 2), Computer Bild oder jede PC Zeitschrift sollte eigentlich das SP2 nun gratis mitliefern. Also holen !!!! ;)

Gruß
Andy :daumenhoc

Hallo Andy,

eine Datei hatte ich übersehen (Mail an Dich ist weg), andere sind nicht zu finden.
Habe Einträge gelöscht und escan im Safe Mode laufen lassen, danach wieder normal hoch.
Leider ist Tofger noch da.
AntiVir nervt jetzt mit einem ganzen Wust von Meldungen, eine Auswahl:
Betroffene Dateien:
ADDEA.EXE

IERG.EXE

und weiter:

C:\WINDOWS\IPOO.EXE
Ist das Trojanische Pferd TR/Spy.Tofger.BI.2

C:\WINDOWS\SYSTEM32\MSQM32.EXE
Ist das Trojanische Pferd TR/Spy.Tofger.BI.2

C:\WINDOWS\JAVASL.EXE
Ist das Trojanische Pferd TR/Spy.Tofger.BI.2

C:\WINDOWS\SYSTEM32\APPQL32.EXE
Ist das Trojanische Pferd TR/Spy.Tofger.BI.2

HiJack Log nach "Reparatur" und escan schaut irgendwie unverdächtig aus (Log ist im W2K Safe Mode gemacht worden):
Logfile of HijackThis v1.98.2
Scan saved at 15:20:52, on 01.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
D:\MZ\HJacked Bacup\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7F1DF9FD-5957-0313-B9F9-EABDB4F680EE} - C:\WINDOWS\javaca32.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O13 - WWW. Prefix: http://
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Ich kriege jetzt langsam den Fön, weiss bitte jemand weiter?

Markus

Noch ein Nachtrag, ein kleiner Groschen ist glaube ich bei mir gefallen - HiJack zeigt, daß zwei Dateien, die AntiVir bemängelt auf RunOnce stehen, das nehme ich jetzt raus, die Dateien schicke ich mal weg.
Ich bin mir unsicher mit diesem Eintrag, auch weg?:

O4 - HKLM\..\Run: [sdkat.exe] C:\WINDOWS\system32\sdkat.exe

Das ganze Log:
Logfile of HijackThis v1.98.2
Scan saved at 15:56:52, on 01.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\BRQIKMON.EXE
C:\WINDOWS\system32\sdkat.exe
D:\MZ\HJacked Bacup\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7F1DF9FD-5957-0313-B9F9-EABDB4F680EE} - C:\WINDOWS\javaca32.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [sdkat.exe] C:\WINDOWS\system32\sdkat.exe
O4 - HKLM\..\RunOnce: [addfw.exe] C:\WINDOWS\system32\addfw.exe
O4 - HKLM\..\RunOnce: [javasl.exe] C:\WINDOWS\javasl.exe
O13 - WWW. Prefix: http://
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{35652CC2-D865-427F-858E-4944A70F8C7B}: NameServer = 195.50.140.250 145.253.2.203

Schickst Du mir bitte :

C:\WINDOWS\system32\sdkat.exe

als Zip file auch via Mail ? Ich schaue sie mir mal an :)

Danke

ansonsten bitte noch

O2 - BHO: (no name) - {7F1DF9FD-5957-0313-B9F9-EABDB4F680EE} - C:\WINDOWS\javaca32.dll

löschen

und du hast es überstanden ;)

Gruß
Andy

Hi Andy,

besten Dank für die Unterstützung.Leider konnte ich den Trojaner auch damit nicht loswerden.Da ich ausserdem festgestellt habe, dass ich von zwei weiteren Übeltätern befallen wurde, die sich dreister Weise sogar unter Software eintragen
(Shopping Wizard und Home Search Assistent),
sich aber nicht deinstallieren lassen, werde Ich wohl endgültig zur bitteren Alternative der Neuinstallation greifen.
Ich werde mir allerdings deinen Tip zu Herzen nehmen und WinXP dann gleich auf SP2 updaten.

Also Danke nochmal und Bis Dann.

Poe

Hallo POE,

lade Dir den eScan runter, erstelle ein Verzeichnis (=Ordner) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus durch .. sowie hier beschrieben.

Lass uns bitte nach dem Scan wissen, welche Viren auf Deinem Rechner gefunden/umbenannt wurden und poste ein neues Hijack This Logfile.

SD

hey Poe hör auf Shadow, Escan is echt der hammer, der findet alles aber die bedingung is schon, dass du im abgesicherten Modus den scan laufen lässt.

Zitat:

Zitat von FancyAndy

Hallo,

wenn jemand mit demselben Problen mit Tofger suchen sollte, folgende Lösung von Andy hier im Forum, in der Zusammenfassung, die bei mir funktioniert hat
(Nochmals vielen Dank, das hat mir die Neuinstallation erspart!)

Vorgehen wie oben beschrieben:
- im Abgesicherten Windows Modus alles raushauen, was einem im Scan von HijackThis (neuste Version) irgendwie verdächtig erscheint.
- Dabei vorher ein Log anlegen, damit man ggf. zu viel gelöschtes nocheinmal reparieren kann.
Verdächtig etwa: BDOs, Downloads von Sites, die man nicht kennt, Einträge in der Registry mit RUN und RUN ONCE.
Die Namen der Files, die etwa AntiVIR erkennt, werden offebar zufällig erzeugt, alle Files in Safe Mode löschen.

Scan mit "escan" hilft auch.

Nach Neustart sollte bei gründlichem Vorgehen der Fall gegessen sein.

Viel Glück,

m.