Hi Tom,

Das war ein Trojaner, der sich selber mutiert bzw. den Namen wechselt:

yaemu.exe startet mit Systemstart und erzeugt eine Datei
  hgqhp.exe

Ja, das ist typisch, deshalb kann es z. B. auch passieren, daß AV-Programme nur die Folgen erkennen, nicht aber die Ursachen.

Das schlimme an den beiden Trojanern ist, dass sie eine Latte von anderen Trojaner versuchen nachzuladen und ich jetzt immer noch nicht sicher weiß, ob ich alle gekillt habe.

Das ist ja das Schlimme.

Bleibt noch die Frage, wie die an NOD32 vorbei auf die Platte hüfen konnten. Muss also doch noch Hintertüren gegebn, die das Programm nicht bewacht.

Naja, das ist nicht so das große Problem, sowas läßt sich schon recht einfach in VB machen.

Leider bin ich gerade etwas in Hektik, momentan ruft ständig jemand an. ;-)

Deshalb mal nur zum ersten Teil:

Platform: Windows XP SP1 (WinNT 5.01.2600)

SP2 fehlt.

C:\WINDOWS\system32\csrss.exe

Diese Datei prüfen.

C:\WINDOWS\System32\hpbhksrv.exe

Diese Datei prüfen.

C:\Programme\Eset\nod32krn.exe

Diese Datei prüfen, muß nicht zu nod32 gehören.

Die Dateien kannst Du bei http://www.virustotal.com prüfen.

Ansonsten kannst Du ja auch mal auf http://www.netz-treff.de posten, da ist Markus, der kennt sich damit am besten aus.

Aber ich fürchte, wenn Du kein Image hast, kommst Du wohl um eine Neuinstallation nicht herum.

Viele Grüße

Jörg,

der jetzt erstmal wech ist ...