Trojaner Agent mit vielen Gesichtern?

bennyf

Hallo
Ich hab ein riesen Problem, das mich jetzt schon nen ganzen Tag gekostet hat. Plötzlich sah die Google Startseite irgendwie anders aus, Sexseiten ploppten auf und trotz Firewall schien es regen Datenverkehr zu geben.
Norton fand nichts - AdAware mehrere Einträge, einige TrojanerChecks wieder nichts und Antivirus fing an mit appit32.exe und sysaq.exe.
HiJackThis fand den ekligen Eintrag "R3 - Default URLSearchHook is missing" und immer wieder appit32.exe und/oder sysaq.exe.
Nach fixen waren sie zwar kurz weg, nach dem nächsten Neustart aber wieder da. Hab nun mehrfach mit Norton und Antivir gescannt, auch im abgesicherten Modus, mehrfach gefixt mit HiJackThis, aber ich krieg das Grundproblem nicht los...nur die Namen ändern sich laufend:
ipcr.exe
mfcnn.dll
apibo
mfcpd.exe
sysid32.exe
sysmw32.exe
apibt.exe
winon.exe
iexy.dll
iewi.dll
iejs.exe
sdkml32.exe
findet Antivir, löscht sie und dann sind sie doch wieder in HijackThis zu finden,
HOffentlich weiss jemand von Euch Hilfe???
Vielen Dank im voraus - Benny

den letzten HiJackThis-logfile hab ich hier:


Logfile of HijackThis v1.99.0
Scan saved at 20:51:23, on 09.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Prog\CD\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
D:\Prog\Virus\NortonAV2004\navapsvc.exe
D:\Prog\Virus\NortonAV2004\SAVScan.exe
D:\Prog\Online\SIGNAL IDUNA Personal Firewall\driver\spfirewallsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\DCxxMjpgControl.exe
D:\Prog\Virus\PestPatrol\PPMemCheck.exe
D:\Prog\Virus\PestPatrol\CookiePatrol.exe
D:\Prog\Online\Atomzeit\PTBSync\PTBSync.exe
D:\prog\online\signal iduna personal firewall\bin\sppfw.exe
D:\Prog\CD\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\Programme\WinZip\WZQKPICK.EXE
D:\Prog\Online\OnlineCounter\OnlineCounter.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\iejs.exe
C:\WINDOWS\sdkml32.exe
D:\Prog\Virus\HiJackThis\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {2A5D80E2-4EE2-47AD-FEB2-73CBFF84A720} - C:\WINDOWS\javagw32.dll
O2 - BHO: Class - {8B818F6C-9632-19DE-8680-233C397A97AD} - C:\WINDOWS\system32\iewi.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Prog\Virus\NortonAV2004\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [DCxxCTRL] C:\WINDOWS\System32\DCxxMjpgControl.exe Autostart
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [PPMemCheck] D:\Prog\Virus\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Prog\Virus\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PTBSync] D:\Prog\Online\Atomzeit\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [Securepoint Personal Firewall] d:\prog\online\signal iduna personal firewall\bin\sppfw.exe
O4 - HKLM\..\Run: [InCD] D:\Prog\CD\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [sdkml32.exe] C:\WINDOWS\sdkml32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - Startup: Outlook.lnk = ?
O4 - Startup: OnlineCounter 2004-Autostart.lnk = D:\Prog\Online\OnlineCounter\OnlineCounter-Autostart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/act...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/act...ActiveData.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper - Ahead Software AG - D:\Prog\CD\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Prog\Virus\NortonAV2004\navapsvc.exe
O23 - Service: Sandra Data Service - SiSoftware - D:\Prog\Tools\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service - SiSoftware - D:\Prog\Tools\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Prog\Virus\NortonAV2004\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Securepoint Personal Firewall - Securepoint Latinoamerica S.A. de C.V. - D:\Prog\Online\SIGNAL IDUNA Personal Firewall\driver\spfirewallsvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe