SpHjfix findet nichts
 

Hallo,
habe mir gerade SpHjfix geladen. Sagt, nicht infiziert. Ad-aware findet aber nach jedem Neustart die zwei bekannten Eintragungen in der Regiystry, kann sie also nicht löschen, wie hier schon beschrieben wurde.
Ich benutze zwar in der Regel den IE nicht, sondern Opera, würde aber trotzdem gerne diesen "Angriff" endgültig abwehren. Welche Hilfe gibt es noch?
Gruß Peter

Hallo,

dann erstell bitte ein Hijackthis-Logfile ---> http://www.hijackthis.de
und poste es hier.
Anleitung

dartus

Danke für die schnelle Antwort.
Logfile of HijackThis v1.99.1
Scan saved at 20:03:25, on 11.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\RUNDLL32.EXE
D:\DOWNLOAD\TIMER-CLOCK\TCLOCK.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\QUICKNOTE\QUICKNOTE.EXE
C:\PROGRAMME\SIMPLECHECK.EXE
C:\PROGRAMME\SYSTOOL\SYSTOOL.EXE
C:\WINDOWS\STARTMENü\PROGRAMME\AUTOSTART\TRANSPARENTW.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\WEBWASHER\WWASHER.EXE
C:\PROGRAMME\WINCMD\TOTALCMD.EXE
C:\WINDOWS\TEMP\_TC1\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.de/spbasic.htm?cp=1252&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {31D1CA78-F919-4198-8DA5-AB6F44E4AB28} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Timer-Clock] D:\Download\Timer-Clock\TClock.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE"
O4 - HKCU\..\Run: [MagnifyingGlass] REM C:\PROGRAMME\MAGNIFYING GLASS\MAGNIFYING GLASS.EXE /autorun
O4 - HKCU\..\Run: [Quicknote] C:\PROGRAMME\QUICKNOTE\QUICKNOTE.exe
O4 - HKCU\..\Run: [Registry Backup] REM C:\PROGRAMME\REGISTRY BACKUP\REGBACKUP.EXE
O4 - HKCU\..\Run: [SimpleCheck] C:\PROGRAMME\SIMPLECHECK.EXE
O4 - Startup: SysTool.lnk = C:\Programme\SysTool\systool.exe
O4 - Startup: TransparentW.exe
O8 - Extra context menu item: Mit Easy-Fill ausfüllen ... - file://C:\PROGRAMME\EASYFILL\fillit.htm
O8 - Extra context menu item: &Add to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2003\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2003\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2003\\Parser.html
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: BINGOOO - {B9AE06A0-C163-11D4-AF88-D50274B5004D} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra button: (no name) - {233A9694-667E-11d1-9DFB-006097D5040A} - (no file)
O9 - Extra button: BINGOOO - {8A1DFF01-57BF-11D6-AF8B-000777640932} - C:\PROGRAMME\BINGOOO\BINGOOO.EXE (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253

Ich habe die zwei Sachen, die den IE betreffen, gelöscht, Ad-aware meldet aber immer noch

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "about:blank"
Kategorie : Data Miner
Kommentar : Möglicher Browser-Hijack Versuch
Rootkey : HKEY_CURRENT_USER
Objekt : Software\Microsoft\Internet Explorer\Main
Wert : Start Page
Daten : "about:blank"

Möglicher Browser-Hijack Versuch : .Default\Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "about:blank"
Kategorie : Data Miner
Kommentar : Möglicher Browser-Hijack Versuch
Rootkey : HKEY_USERS
Objekt : .Default\Software\Microsoft\Internet Explorer\Main
Wert : Start Page
Daten : "about:blank"

Kannst du damit jetzt etwas anfangen?
Peter

Hallo,

vergibt Deinem IExplorer mal eine Startseite. Da ist wohl keine vergeben.
Bei "about:blank" wird wohl vermutet, dass etwas nicht i.O. ist.

Lade Dir auch noch spybot S&D updaten und scannen. Alles Löschen was da noch gefunden werden sollte.

In Deinem Log ist mir nichts aufgefallen.

dartus

Hallo,
das andere Tool hatte ich auch schon herunter geladen. Das fand noch Alexa, was Ad-aware nicht mehr fand.
Das mit der Startseite habe ich gemacht. Bei einem ersten Versuch mit Neustart hat Ad-aware nicht mehr gemeckert. Ich werde es am Wochenende noch weiter testen, bedanke mich aber jetzt schon für die Mühe.
Was ich noch nicht gesagt habe:
Gestern hat sich beim Start der Browser das DFÜ-Netzwerk selbst eingewählt. Es ging immer so schnell, dass ich nicht in der Lage war, den Haken der automatischen Einwahl weg zu machen. (der von mir auch nicht hingemacht war) Ich war so in Panik, dass ich mit Drive-Image ein Image vom 1.1.05 hergestellt habe. Dann war das mit der Einwahl wieder in Ordnung. Was mich aber sehr gewundert hat, die zweimal Hijak wurden von Ad-aware immer noch gemeldet, obwohl ich die am 1.1. nicht hatte.
Auf jeden Fall nochmals Danke. Ich bin normalerweise kein Freund von Forums - das lesen der Fragen und Antworten kann manchmal abschrecken - aber in diesem Forum habe ich ein gutes Gefühl.
Peter

Hallo,
ich wollte abschließend melden, dass der Tipp mit der festen Seite vergeben, sehr gut war. Auch Ad-aware meldet keine Spione bzw. Hijacker mehr.
Nochmals vielen Dank.
Peter