hallo zusammen,
nachfolgend seht ihr mein logfile, mit der bitte um kommentierung.
ich habe folgende programme auf meinem rechner ausgführt: e-scan,spyboot, add-aware, cw-shredder und natürlich hijackthis. sobald ich die oberen threads (bis r3) lösche ist der IE bei erstenmal hochfahren ok, beim zweiten mal wird wieder die startseite geändert und es gibt popups. ich weiss jetzt wirklich nicht mehr weiter..
danke im vorraus
sandra

Logfile of HijackThis v1.98.2
Scan saved at 18:12:31, on 28.08.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\Network Associates\VirusScan\Avsynmgr.exe
F:\WINNT\System32\drivers\CDAC11BA.EXE
F:\WINNT\System32\CTSvcCDA.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\mgabg.exe
F:\WINNT\~GLC0001.TMP:sssim
F:\WINNT\system32\regsvc.exe
F:\WINNT\System32\SCardSvr.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\Programme\TightVNC\WinVNC.exe
F:\WINNT\System32\mspmspsv.exe
F:\WINNT\system32\svchost.exe
F:\Programme\Network Associates\VirusScan\VsStat.exe
F:\Programme\Network Associates\VirusScan\Vshwin32.exe
F:\Programme\Network Associates\VirusScan\Avconsol.exe
F:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
F:\WINNT\Explorer.EXE
F:\WINNT\System32\PDesk.exe
F:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
F:\WINNT\system32\netjd.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\Programme\FinePixViewer\QuickDCF.exe
F:\Programme\iFinger\iFinger.exe
F:\Programme\AGFEO\ISDN Guard\agfguard.exe
F:\WINNT\System32\taskmgr.exe
F:\Programme\Opera\opera.exe
F:\Dokumente und Einstellungen\volker\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {F3C72A45-674D-5938-949B-9CC0A7147CE6} - F:\WINNT\system32\sdkpi32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Matrox Powerdesk] F:\WINNT\System32\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [CreativeMixer] F:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [EM_EXEC] F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [WinVNC] "F:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [netjd.exe] F:\WINNT\system32\netjd.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Exif Launcher.lnk = F:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: iFinger.lnk = F:\Programme\iFinger\iFinger.exe
O4 - Global Startup: ISDN Guard.lnk = F:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - F:\WINNT\System32\SHDOCVW.DLL












hallo zusammen,
nachfolgend seht ihr mein logfile, mit der bitte um kommentierung.
ich habe folgende programme auf meinem rechner ausgführt: e-scan,spyboot, add-aware, cw-shredder und natürlich hijackthis. sobald ich die oberen threads (bis r3) lösche ist der IE bei erstenmal hochfahren ok, beim zweiten mal wird wieder die startseite geändert und es gibt popups. ich weiss jetzt wirklich nicht mehr weiter..
danke im vorraus
sandra

Hallo,

diesen Prozess im TaskManager beenden:
F:\WINNT\system32\netjd.exe

Fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {F3C72A45-674D-5938-949B-9CC0A7147CE6} - F:\WINNT\system32\sdkpi32.dll
O4 - HKLM\..\Run: [netjd.exe] F:\WINNT\system32\netjd.exe

Wechsle in den abgesicherten Modus und lösche diese Dateien:
F:\WINNT\system32\sdkpi32.dll
F:\WINNT\tshol.dll
F:\WINNT\system32\netjd.exe

Wenn du das Problem dauerhaft lösen willst, dann wende dies an:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

Wichtig: IE 6 mit min. SP1, sowie weiteren sicherheitsrelevanten Pachtes installieren!

Hallo Sandra

Zitat:

Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Not Uptodate: Win2K bedarf SP4, IE-V6.00 SP1. Bitte Updaten, trotzt dass du Opera benutzst.

Zitat:

F:\WINNT\system32\netjd.exe

Ist kein Windows-Prozess. Über Task-Manager Prozess mit dieser Datei beenden, datei manull über Explorer löschen.

Zitat:

F:\Programme\Adobe\Acrobat 5.0

Es gibt schon Adobe Reader 6.0.2

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {F3C72A45-674D-5938-949B-9CC0A7147CE6} - F:\WINNT\system32\sdkpi32.dll
O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [netjd.exe] F:\WINNT\system32\netjd.exe

Das alles fixen.

hallo zusammen,

@cidre , habe alles so gemacht. hat aber nicht funktioniert. alles wie gehabt. konnte aber die datei sdkpi32.dll nicht auf meinem rechner finden.
hast du noch eine idee?

@rene-gad ist denn für die besitigung des hijackers ein update SP4 etc. notwendig?

grüsse

Zitat:

Zitat von sandralos

ist denn für die besitigung des hijackers ein update SP4 etc. notwendig?

Nein. Aber das ist eine Mögliche Ursache, dass es passierte und eine Vorbeugung, dass es in der Zukunft nicht mehr passiert .

Moin Rene-gad,

Zitat:

Zitat von Rene-gad

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
Das alles fixen.

Was hast Du gegen das BHO vom Acrobat Reader? Ist zwar nicht zwingend erforderlich, aber imho auch völlig ungefährlich.

Der 2. Eintrag könnte zu einer Digi-Cam von Fuji gehören
-> http://www.sysinfo.org/startuplist.p...y=9&submit=%3E

Vllt. nicht unbedingt erforderlich, aber als gefährlich würde ich den erst einmal nicht einstufen. Es sei denn, es gibt im 'Umfeld' des Rechners gar keine Digi-Cam von Fuji...

@sandra,

ich würde an Deiner Stelle mal eScan (siehe Signatur) über sämtliche Partitionen Deines Rechners jagen.
Es sieht aus der Ferne so aus, als wenn Du 2. Betriebssysteme auf Deinem Rechner hast... Das ist grundsätzlich nichts schlimmes, aber Du solltest -wie gesagt- mal den kompletten Rechner scannen.

Moin Lutz

Zitat:

Was hast Du gegen das BHO vom Acrobat Reader?

Sandra hat so oder so die neu Version von AdobeReader zu installieren

Zitat:

Eintrag könnte zu einer Digi-Cam von Fuji gehören

FULL ACK! Aber lt. dieser Seite http://www.2-spyware.com/file-regshave-exe.html ist nicht unbedingt notwendig, um so mehr als Selbststarter.

Zitat:

Zitat von Rene-gad

http://www.2-spyware.com/file-regshave-exe.html

Diese Seite würde ich aber generell nur mit höchster Vorsicht genießen.
Sonst schmeißen z.b. demnächst alle Office-Besitzer die outlook.exe vom Rechner, weil sie der Wurm Mimail.Q sei.

Für mich sieht die Seite eher wie eine Werbeverkaufsveranstaltung zur dort angebotenen Software aus.
Sätze wie

Zitat:

However the same or similar file name can be used by spyware or adware programs to decept user. We advice you to scan your computer and eliminate possible threats.

treffen nun wirklich auf jeden Dateinamen zu...


Sorry, die Hälfte vergessen:

Es sieht aus der Ferne so aus, als wenn Sandra eine Vollversion von Adobe Acrobat auf dem Rechner hat (Start-Aufruf des Destillers). Wen dem so ist, wäre ich äußerst vorsichtig mit der Deinstallation des Readers. Imho schmeißt man sich dann auch die Vollversion mit vom Rechner. Zumindest bei der 4er Version kenne ich dieses 'lustige' Spielchen.

Hallo

Zitat:

Diese Seite würde ich aber generell nur mit höchster Vorsicht genießen.

Das tu ich .

Zitat:

Es sieht aus der Ferne so aus, als wenn Sandra eine Vollversion von Adobe Acrobat ....

Schon möglich. Aber wozu denn braucht auch eine Vollversion ein AktiveX-BHO?

Zitat:

Zitat von Rene-gad

Aber wozu denn braucht auch eine Vollversion ein AktiveX-BHO?

Jetzt wird's zwar ziemlich haarspaltig, aber da du fragst:
Damit die mit der Vollversion erstellte PDF-Datei im IE angezeigt werden kann.
Die Sinnhaftigkeit lass ich mal dahingestellt, aber vielleicht kontrolliert der geneigte Acrobat-User gerne, wie sein PDF im IE dargestellt wird...

Offtopic²:
Das ist wie Gürtel und Hosenträger tragen, weil man seinem eigenen Ar*** nicht traut...

hallo lutz,
habe noch einmal den e-scan über alles laufen lassen. nachfolgend die angeblich gelöschten files. an meinem IE hat sich aber nichts verändert. irgendwo läuft im hintergrund noch etwas mit, dass die anti spy programme übersehen. keines dieser programme hilft wirklich.
grüsse
sandra

File F:\WINNT\system32\javabb32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.
File F:\WINNT\mruninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\WINNT\System32\javabb32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File F:\Dokumente und Einstellungen\volker\Desktop\vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken.
File F:\Dokumente und Einstellungen\volker\Lokale Einstellungen\Temp\CFQ.mwt infected by "not-a-virus:AdvWare.AdBreak" Virus. Action Taken: File Renamed.
File F:\Dokumente und Einstellungen\volker\Lokale Einstellungen\Temp\_ISTMP4.DIR\_ISTMP0.DIR\MSVBVM50.728 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Programme\TightVNC\VNCHooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.b. No Action Taken.
File F:\WINNT\apixs32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File F:\WINNT\apppy.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File F:\WINNT\iphx32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File F:\WINNT\javaxj.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File F:\WINNT\mfckb32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File F:\WINNT\mruninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\WINNT\system32\netwu.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File F:\WINNT\system32\winqt32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File F:\WINNT\system32\winwn32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.
File F:\WINNT\system32\winwn32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.

Poste nochmal ein neues Log-File.

hallo,
hier das neue"alte" logfile vom hijack.
sandra

Logfile of HijackThis v1.98.2
Scan saved at 10:20:37, on 29.08.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\System32\SCardSvr.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\Network Associates\VirusScan\Avsynmgr.exe
F:\WINNT\System32\drivers\CDAC11BA.EXE
F:\WINNT\System32\CTSvcCDA.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\mgabg.exe
F:\WINNT\~GLC0001.TMP:sssim
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\Programme\TightVNC\WinVNC.exe
F:\WINNT\System32\mspmspsv.exe
F:\WINNT\system32\svchost.exe
F:\Programme\Network Associates\VirusScan\VsStat.exe
F:\Programme\Network Associates\VirusScan\Vshwin32.exe
F:\Programme\Network Associates\VirusScan\Avconsol.exe
F:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
F:\WINNT\Explorer.EXE
F:\WINNT\System32\PDesk.exe
F:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\Programme\FinePixViewer\QuickDCF.exe
F:\WINNT\System32\taskmgr.exe
F:\Programme\iFinger\iFinger.exe
F:\Programme\AGFEO\ISDN Guard\agfguard.exe
F:\Programme\Opera\opera.exe
F:\WINNT\sysyo32.exe
F:\Dokumente und Einstellungen\volker\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\system32\xlapd.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\system32\xlapd.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\system32\xlapd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://F:\WINNT\system32\xlapd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://F:\WINNT\system32\xlapd.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\system32\xlapd.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\system32\xlapd.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\system32\xlapd.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\system32\xlapd.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\system32\xlapd.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5095936-76F3-CF24-9DCB-7DA512FB1C59} - F:\WINNT\system32\ipdg32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Matrox Powerdesk] F:\WINNT\System32\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [CreativeMixer] F:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [EM_EXEC] F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinVNC] "F:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [sysyo32.exe] F:\WINNT\sysyo32.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Exif Launcher.lnk = F:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: iFinger.lnk = F:\Programme\iFinger\iFinger.exe
O4 - Global Startup: ISDN Guard.lnk = F:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - F:\WINNT\System32\SHDOCVW.DLL

Um es mal zu verdeutlichen: Dein Haupt-Problem ist der IE. Installiere IE 6 mit min. SP1 und alle weiteren Sicherheitspatches. Dies solltest du machen, auch wenn du nur ausschließlich mit Opera surfst!

Ein Trojan Downloader ist sehr gefährlich, weil er ständig versucht weitere Malware nachzuladen.

Daher wäre meine Empfehlung: Setzte dein System neu auf, da es für dich nicht mehr vertrauenswürdig ist.
http://faq.underflow.de/#SECTION000120000000000000000
http://oschad.de/wiki/index.php/Kompromittierung

Nach dem Neuaufsetzen und VOR der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

- NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
- dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
- Deine Passwörter ändern
- Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
- Surfverhalten überdenken