Hallo,

bin neu hier und in diesem weiten Feld der Bösewichterprogramme im Netz. Habe mir mit dem IE irgendeinen Käse eingefangen: Startseite verändert, Lesezeichen verändert (und mein System läuft langsamer, das kann aber auch nur "gefühlt" sein)
Spybot S&D, AdWare, CWShredder und HijackThis konnten es nicht fixen. Habe mir eure super!!!!-Deutsche-Übersetzung-zu-Hijackthis-Erklärungs-Seite durchgelesen und auch einiges gefunden, was da sicher nicht hingehört. So z.b. der Prozess: syskl32.exe - den kann ich aber nicht fixen und er kommt immer wieder. Bitte also um Hilfe und wäre euch sehr sehr verbunden.

Hier mein Log im normalen Modus:

Logfile of HijackThis v1.99.1
Scan saved at 09:35:38, on 22.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\syskl32.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe
C:\Programme\CyberLink Media Carnival\PowerVCR II\Agent.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\sysik32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7D80F0E3-D853-E15E-FD62-366068538F6E} - C:\WINDOWS\system32\ieqn32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [remotecontrol] C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe
O4 - HKLM\..\Run: [Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\Agent.exe"
O4 - HKLM\..\Run: [Remote_Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\RemoteAgent.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [sysik32.exe] C:\WINDOWS\sysik32.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - http://dm.screensavers.com/dm/instal...sinstaller.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\syskl32.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Hi,

lasse die folgenden Dateien:
C:\WINDOWS\system32\syskl32.exe
C:\WINDOWS\sysik32.exe
C:\WINDOWS\system32\ieqn32.dll

mal hier online scannen und teile das Ergebnis mit. Sieht ungefähr so aus

Zitat:

Scanner Name der Malware Dauer
AntiVir TR/Drop.Agent.EH 0.38 Sekunden
Avast X 1.53 Sekunden
AVG Antivirus X 0.51 Sekunden
BitDefender X 0.77 Sekunden
ClamAV X 1.83 Sekunden
Dr.Web X 2.86 Sekunden
F-Prot Antivirus X 0.21 Sekunden
Fortinet X 1.00 Sekunden
Kaspersky Anti-Virus X 2.03 Sekunden
mks_vir X 0.45 Sekunden
NOD32 probably unknown NewHeur_PE 0.72 Sekunden
Norman Virus Control X 2.19 Sekunden

hier die Ergebnisse: und vielen Dank für Eure Mühe!!

Datei: syskl32.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PE-CRYPT.SQR, UPX

AntiVir
Keine Viren gefunden (0.40 Sekunden)
Avast
Keine Viren gefunden (1.53 Sekunden)
AVG Antivirus
Keine Viren gefunden (0.50 Sekunden)
BitDefender
Keine Viren gefunden (0.54 Sekunden)
ClamAV
Keine Viren gefunden (0.61 Sekunden)
Dr.Web
Keine Viren gefunden (0.91 Sekunden)
F-Prot Antivirus
Keine Viren gefunden (0.14 Sekunden)
Fortinet
Keine Viren gefunden (0.48 Sekunden)
Kaspersky Anti-Virus
Trojan.Win32.Agent.bi (1.04 Sekunden)
mks_vir
Trojan.Agent.Bi (0.22 Sekunden)
NOD32
Keine Viren gefunden (0.48 Sekunden)
Norman Virus Control
Keine Viren gefunden (2.93 Sekunden)


Datei: sysik32.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PE-CRYPT.SQR, UPX

AntiVir
TR/Dldr.Agent.BQ (0.39 Sekunden)
Avast
Win32:Trojano-994 (1.53 Sekunden)
AVG Antivirus
Downloader.Agent.9.BF (0.97 Sekunden)
BitDefender
Trojan.Downloader.Agent.BQ (1.11 Sekunden)
ClamAV
Keine Viren gefunden (0.61 Sekunden)
Dr.Web
Trojan.DownLoader.1799 (0.92 Sekunden)
F-Prot Antivirus
W32/Agent.JK@dl (0.09 Sekunden)
Fortinet
W32/Agent.MQ-tr (0.45 Sekunden)
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Agent.bq (1.05 Sekunden)
mks_vir
Trojan.Downloader.Agent.Bq (0.23 Sekunden)
NOD32
Win32/TrojanDownloader.Agent.NBU (0.48 Sekunden)
Norman Virus Control
W32/Agent.BLJ (0.23 Sekunden)







ieqn32.dll
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PE-CRYPT.SQR, UPX

AntiVir
Keine Viren gefunden (0.41 Sekunden)
Avast
Keine Viren gefunden (1.53 Sekunden)
AVG Antivirus
Keine Viren gefunden (0.49 Sekunden)
BitDefender
Keine Viren gefunden (0.55 Sekunden)
ClamAV
Keine Viren gefunden (0.63 Sekunden)
Dr.Web
Keine Viren gefunden (0.91 Sekunden)
F-Prot Antivirus
Keine Viren gefunden (0.55 Sekunden)
Fortinet
Keine Viren gefunden (0.47 Sekunden)
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Agent.bc (1.06 Sekunden)
mks_vir
Trojan.Downloader.Agent.Bc (0.22 Sekunden)
NOD32
Keine Viren gefunden (0.47 Sekunden)
Norman Virus Control
Keine Viren gefunden (0.23 Sekunden)



wie gesagt, vielen Dank!

als erstes solltest Du Dein System auf SP 2 updaten

Die folgenden beiden Dateien bitte (siehe meine Signatur Malware prüfen) hochladen, da sie nicht von allen Scannern erkannt wurde, mit Verweis auf diesen Thread. Sollte die exe größer als 2MB sein dann bitte gepackt hier hin schicken:
mailto: partytime-germany@web.de
C:\WINDOWS\system32\ieqn32.dll
C:\WINDOWS\system32\syskl32.exe

--> boote danach in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung

folgende Einträge:

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7D80F0E3-D853-E15E-FD62-366068538F6E} - C:\WINDOWS\system32\ieqn32.dll
O4 - HKLM\..\Run: [sysik32.exe] C:\WINDOWS\sysik32.exe
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - http://dm.screensavers.com/dm/insta.../sinstaller.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\syskl32.exe

lösche dann von Hand folgende Dateien:

C:\WINDOWS\system32\ieqn32.dll

C:\WINDOWS\sysik32.exe
C:\WINDOWS\system32\syskl32.exe

Neu booten neues HJT posten

Da dein System doch ziemlich durchseucht ist und die Schädlinge zumeist Dropper sind, solltest du auf jeden Fall einen Scan mit eScan im abgesicherten Modus (Anleitung genau befolgen!) durchführen und posten was gefunden wird. Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und in einer Textdatei speichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei einfach ins Forum kopieren.


Poste außerdem folgendes aus der mwav.log (steht ganz am Ende):

Zitat:

Total Number of Files Scanned:
Total Number of Virus(es) Found:
Total Number of Disinfected Files:
Total Number of Files Renamed:
Total Number of Deleted Files:
Total Number of Errors:
Time Elapsed:

Vielen Dank für die Hilfe soweit, ich wünschte, ich könnte euch einen ausgeben oder so. Ist wirklich toll.

@gigamail: leider kann ich mich nicht wirklich auf malwareupload.com einloggen. Ich habe zwar einen Code per mail bekommen, bei Eingabe passiert aber nichts.

Würde dir die beiden Dateien gerne an die angegebene Adresse mailen. Ist das OK?


Gruß soweit.

t.

wenn es da solche probleme gibt, was eigentlich ungewöhlich ist dann schicke sie an die Adresse:
Schick die Datei bitte gepackt und mit Passwort versehen an partytime-germany.ice@web.de mit Verweis auf diesen Thread.
Führe den rest meines Posting's aus. Vergesse nicht danach den eScan wie Haui es beschrieben hat. Haken setzen bei All Local Drives und All Scan Files

@gigamail

nochmals Danke, habe die Dateien jetzt doch über die Internet-Seite hochgeladen. Das ging bei mir nicht mit Firefox, mit dem IE war es dann aber kein Problem.

gruß
t.

habe das von gigamail beschriebene Procedere durchgeführt. Der unter 023 remote procedure call Helper usw.. eingetragene Prozess lässt sich nicht fixen/entfernen. Durch die händische Löschung findet er aber die Datei nicht mehr. Aber seht selbst.

das Update auf SP2 dauert leider noch. Ich bin nicht gerade der schnellste im Netz

nach dem SP2 Update kommt der eScan dran. Kann mir beim sp2 Update eigentlich etwas passieren oder schiefgehen mit dem system?

mensch, vielen Dank für eure Hilfe


Logfile of HijackThis v1.99.1
Scan saved at 09:03:54, on 23.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe
C:\Programme\CyberLink Media Carnival\PowerVCR II\Agent.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {AAF6F52E-597C-27BB-5688-AE0FF485E368} - C:\WINDOWS\system32\ntaf.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [remotecontrol] C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe
O4 - HKLM\..\Run: [Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\Agent.exe"
O4 - HKLM\..\Run: [Remote_Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\RemoteAgent.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\syskl32.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

lade die folgende datei auch noch hoch:
C:\WINDOWS\system32\ntaf.dll

Zitat:

nach dem SP2 Update kommt der eScan dran. Kann mir beim sp2 Update eigentlich etwas passieren oder schiefgehen mit dem system?

solltest Du widererwartend Schwierigkeiten mit SP 2 haben kannst Du es jederzeit wieder deinstallieren. Aber bei Windows XP sollte es schon drauf sein da
mit dem Update viele Sicherheitslöscher geschlossen werden. Das bedeutet aber nicht damit Du für immer sicher bist. Du musst dann trotzdem von Zeit zu Zeit die aktuellen Updates runterladen, die sind aber dann nicht mehr so groß wie SP 2

--> boote danach in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken)
folgende Einträge:
O2 - BHO: (no name) - {AAF6F52E-597C-27BB-5688-AE0FF485E368} - C:\WINDOWS\system32\ntaf.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\syskl32.exe (file missing)

Der O23 sollte sich jetzt fixen lassen, da Du die datei gelöscht hast
lösche von Hand:

C:\WINDOWS\system32\ntaf.dll

Führe den eScan aus und teile das Ergebnis mit