Ohne die Systenwiederherstellung abzuschalten ??
Da könnte auch was drinstecken ........

Nun ich habe es wie folgt bemacht.Rechner runter gefahren F8 gedrückt ,beim Hochfahren .Und im Abgesicherten Modus gestardet .Virenscan und Ergebniss ,nix gefunden.Was nun ,ist da noch was oder ist das nun nix ??????????

@zoger
Welche Norton Version hast du ?
Wurde Norton so eingestellt, das alle Dateien überprüft werden und ist zuvor ein Update erfolgt ?

Um die Sache endlich aus der Welt zu bekommen,
gehe wie folgt vor:

Verwende das Programm Killbox um die Datei
C:\WINDOWS\system32\rsaenh32.dll
zu löschen.
Download = http://www.bleepingcomputer.com/files/killbox.php
oder
www.killbox.net
Eine Anleitung zur Killbox ist unter diesem Link zu finden
http://virus-protect.org/killbox.html

Nach dem Reboot fixe den Eintrag aus dem Logfile of HijackThis:
O2 - BHO: (no name) - {07F28647-BAA4-486C-B9CE-60A5BAE1B0D6} - C:\WINDOWS\system32\rsaenh32.dll

Anleitung - Eintrag fixen:
Öffne das HijackThis-->> Drücke die Button "Do a system scan only" -->>"scan" -->> Häkchen setzen -->> "Fix checked" -->> PC neu starten

Im Anschluss scanne den PC ein letztes mal mit dem Onlinescanner von Ewido und berichte.
Online-Scanner von Ewido ohne ActiveX:
http://downloads.ewido.net/ewido_micro.exe
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar)
 

Nun ich habe die Killbox genommen und das Ding gelöscht danach habe ich hijack Test gemach

Logfile of HijackThis v1.99.1
Scan saved at 21:54:16, on 14.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\4\spftray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Spybotsd\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
D:\4\spfprc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Symantec\LiveUpdate\AUpdate.exe
D:\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Abbord Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {07F28647-BAA4-486C-B9CE-60A5BAE1B0D6} - C:\WINDOWS\system32\rsaenh32.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybotsd\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [spywarefighterguard] D:\4\spftray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybotsd\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.rsa-sachsen.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182797878203
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1182797864796
O17 - HKLM\System\CCS\Services\Tcpip\..\{60A11CB7-BCBA-4C59-863D-B9E7993A374A}: NameServer = 217.237.149.205 217.237.151.51
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - D:\4\spfprc.exe

Ich denke es müsste verschwunden sein oder ?
Norton 2004 wird aber immer geupdatet.

Bei dem ewind steht da
Name  Adware .Stud           Path c;/Killbox/rsaenh32.dll

Risk       Medium


Und jede Menge Tracking Cookis
Wie soll ich vorgehen? 

@zoger
Die Malwaredatei ist erledigt, nur musst du noch den harmlosen Rest aus der Registry löschen.
Bitte fixe, wie bereits erwähnt, den aus Eintrag aus dem Logfile of HijackThis !
O2 - BHO: (no name) - {07F28647-BAA4-486C-B9CE-60A5BAE1B0D6} - C:\WINDOWS\system32\rsaenh32.dll

 

Norton 2004 wird aber immer geupdatet.

Alles OK !
Lösche den Backup Ordner von Killbox und die Sache ist erledigt:
c:/Killbox/rsaenh32.dll

Ende gut alles Gut
 

 

Na dann sag ich doch ganz großes DANKESCHÖN FÜR DEINE HILFE