purscan B verursacht selbständige downloads. wie krieg ich purscan weg?

#1 Moin.

Mein Rechner ist mit dem Trojaner purscan B infiziert. Das is wahrscheinlich auch Grund, warum sich in meinem Windows Verzeichnis immer ein Ordner bildet, der mit Cra*hier nicht!* und irgendwelchem Mist voll ist. Mit Antivir geht er nicht weg. Spybot S&D, CWS Shredder helfen auch nicht...
Hab Win 2k.
Was kann ich tun?

Danke,

Lensch

#2 Poste einfach mal ein Hijackthis log: http://board.protecus.de/t9391.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 jo, da:

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
D:\WINNT\System32\MSMNGR32.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\WINNT\System32\internat.exe
D:\WINNT\System32\MsSvc16\WinSvc32.exe
C:\Programme\Mozilla.org\Firebird\MozillaFirebird.exe
C:\Programme\Winamp\Winamp.exe
D:\WINNT\explorer.exe
D:\Dokumente und Einstellungen\Lensch\Desktop\21jähriger türke\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.linguadict.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=D:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] D:\WINNT\System32\pmxinit.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Roxio Engine] MSMNGR32.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [WinSvc32.exe] D:\WINNT\System32\MsSvc16\WinSvc32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [Roxio Engine] MSMNGR32.EXE
O4 - Global Startup: WinSvc32.exe
O4 - Global User Startup: WinSvc32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

#4 Fix mal das :

O4 - HKLM\..\Run: [Roxio Engine] MSMNGR32.EXE
O4 - HKLM\..\RunServices: [WinSvc32.exe] D:\WINNT\System32\MsSvc16\WinSvc32.exe
O4 - HKCU\..\RunOnce: [Roxio Engine] MSMNGR32.EXE
O4 - Global Startup: WinSvc32.exe
O4 - Global User Startup: WinSvc32.exe

starte neu und schicke bitte diese Dateien an virus@protecus.de:
D:\WINNT\System32\MsSvc16\WinSvc32.exe (oder alles in dem Ordner, wenn es nicht so viel ist)
D:\WINNT\System32\MSMNGR32.EXE

Welche Dateien werden denn als purscan.b identifiziert?
__________
MfG Ralf
SEO-Spam Hunter

#5 mh eben enthielt eine datei "ntrslib2(1).js" die signatur des "Droppers DR/Purscan.B".

wenn ich aber versuche die C: platte im arbeitsplatz zu öffnen fängt der pc an zu arbeiten, is 100% ausgelastet, und hört nicht mehr auf..

#6 hast du die Sachen schon gefixt? Wenn alles andere nicht hilft nutze das:
http://www.rokop-security.de/board/index.php?showtopic=3867
__________
MfG Ralf
SEO-Spam Hunter