Trojaner gut getarnt!

adl

Hallo!
Ich habe einen Trojaner entdeckt der beim Hochfahren gestartet wird und dann immer nach ein paar Minuten versucht Informationen übers Internet zu verschicken.
Ich habe das nur gemerkt, weil Windows, wenn ich offline bin, von Zeit zu Zeit meldet, daß keine DFÜ Verbindung vorhanden ist.
Ich habe nun in der Registry den Trojaner gefunden und versucht ihn zu löschen. Dies hat zwar funktioniert, aber nach einer gewissen Zeit schreibt er sich wieder zurück.
Was wahrscheinlich von einem aktiven Prozess durchgeführt wird. Allerdings habe ich bis auf die normalen Windows Prozesse keine außergewöhnlichen gefunden die sowas machen könnten.
Nun möchte ich wissen was man machen kann. Und wo finde ich eigentlich die aufgerufene "ysjlaue.dll" (siehe logfile unten) auf meiner Platte, welche den Trojaner lädt?
Ich hoffe jemand kann mir helfen.

Gruß
Adl


Hier mein Hijack Log:

Logfile of HijackThis v1.97.7
Scan saved at 13:05:34, on 18.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINNT\System32\qttask.exe
C:\WINNT\System32\SysUpd.exe
C:\WINNT\System32\XFire.exe
D:\Sicherungen\Programme\TrojanerDestroy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [RegShave] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINNT\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SysUpd] C:\WINNT\System32\SysUpd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [XFire] C:\WINNT\System32\XFire.exe /minimize
O4 - HKLM\..\Run: [ysjlaue] rundll32 C:\WINNT\System32:ysjlaue.dll,Init 1
O4 - HKLM\..\RunOnce: [*ysjlaue] rundll32 C:\WINNT\System32:ysjlaue.dll,Init 1
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2002\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2002\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2002\\Parser.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Net2Phone (HKLM)
O9 - Extra 'Tools' menuitem: Net2Phone (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab