Problem mit WORM/KillAV.GR

Seit 2 Tagen kriege ich immer wieder eine Meldung von Antivir, dass der folgende Virus: WORM/KillAV.GR gefunden wurde.
Ich lösche die entsprechenden Dateien jedes Mal, doch die Meldungen kommen weiterhin.
Die infizierten Dateien werden immer unter "C:\Dokumente und Einstellungen\All Users" bzw. "C:\Dokumente und Einstellungen\All Users\Dokumente\" gefunden und haben ab und an unterschiedliche Namen. Die letzten Paar Male hat Antivir ihn unter "spider.exe" gefunden.

Ich habe sowohl Antivir als auch Kaspersky durchlaufen lassen, aber bei beiden Programmen wurden bei der Systemüberprüfungen keine Viren gefunden.

Habe die Systemwiederherstellung deaktiviert und im abgesicherten Modus Smitfraud durchlaufen lassen, aber das hat auch nicht geholfen ebensowenig wie ein Trojanerentfernungsprogramm, dass zwar einen Trojaner gefunden haben will (ImagePath=\SystemRoot\\SystemRoot\System32\DRIVERS\sr.sys - appears to contain BACKDOOR.HAXDOOR (HEURISTIC DETECTION)), aber weiter anscheinend nichts bewirkt hat.

Anbei die Logs von HijackThis, Smitfraud und TrojanRemover.

Ich hoffe, jemand weiß da weiter, denn mir gehen mittlerweile die Ideen aus.

System: Windows XP SP2

 

Das ist zum wegfixen:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

Kennst du diese Datei bzw. Programm? Wenn nein, wegfixen:
O4 - Global Startup: Config2500.lnk = C:\WINDOWS\system32\Config2500.exe
O4 - Global Startup: BTTray.lnk = ?

 

klick meinen link in der signa und mach alles was beschrieben ist

 

Das Erste ist die Software für meine Wirelesscard, den zweiten Eintrag kann ich so spontan nicht zuordnen...

Werde jetzt wohl erst mal Software runterladen gehen....

 

Hast du das erst weggefixt?

 

fixen:
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Remover\Trojan Remover\Trjscan.exe


was denn dat? fixen...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab


und aktuell ist IE7

 

Habe die von euch genannten Objekte gefixt und mir mittlerweile die Software aus der Anleitung runtergeladen, die mir noch fehlten.
Werde die Anleitung aber erst nach Feierabend heute Nacht abarbeiten, da ich alles nicht vorher schaffe....

Neues Hjacklog nach dem Fixen hängt an

 

Was ist das?
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

 

OK, habe alle Programme durchlaufen lassen (Spybot und Adaware konnten nicht im angesicherten Modus gestartet werden, habe sie also im normalen durchlaufen lassen).
Alle Programme bis auf escan ergaben keine Ergebnisse.

Escan Log hängt an. Jetzt ist die Frage: kann ich die infizierten Keys gefahrlos aus der Registry löschen ohne dass mein System darunter leidet bzw. welches Programm zum Reinigen sollte ich nehmen?

Noch eine Anfängerfrage: mein Inet ist zum Teil langsamer als bisher und wenn ich das Netzwerkkabel mal für einige Zeit vom Computer abnehme, sind meine Verbindungsdaten (IP und DNS) plötzlich nicht mehr vorhanden und ich muss sie neu eingeben. Kann das mit dem Virus zusammenhängen?

 

Kaspersky hatte ich gleich am Anfang durchlaufen lassen, aber der Scanner hatte keine Ergebnisse gebracht.

Ich werde das System neu aufsetzen, aber es dauert noch ein Paar Tage bis ich ein externes Diskettenlaufwerk erhalte (und anders bootet meiner aus unerfindlichen Gründen nicht) und bis dahin möchte ich Schadensbegrenzung betreiben und den Trojaner so weit loswerden.
Also einfach die Registrierungseinträge löschen oder was kann ich machen?

 

Einen Großteil der Viren konnte ich durch das Löschen der Registrierungsschlüssel entfernen. Mittlerweile zeigt Escan noch 5 Viren an.

Und noch mal die Frage...kann ich folgende Dateien löschen, ohne das mein PC funktionsunfähig wird:

C:\WINDOWS\system32\swreg.exe
C:\WINDOWS\system32\swsc.exe
C:\WINDOWS\system32\process.exe

Diese Dateien sind betroffen von trojan-downloader.bat.ftp.ab

 

Hallo Djarmila

Bei mir kommen die Dateien im genannten Verzeichnis nicht vor. Von daher würde ich sagen, dass eine Löschung der Dateien den PC nicht funktionsunfähig macht.

Gruß
Nevok

 

Habe die Dateien gelöscht und jetzt zeigt escan mir nur noch drei "Infektionen" an, davon zwei mögliche Würmer und eine Datei, die aber zu einem meiner Programme gehört.
Hoffe, dass es jetzt geht bis ich endlich das Laufwerk bekomme für eine Neuinstallation....

Danke