Hijacker läßt sich nicht entfernen
 

:koch: Hallo Leute, ich find es echt cool, daß es dieses Forum für Leute, wie mich gibt, die nicht soviel Ahnung haben.
Ich habe mir einen Hijacker eingefangen und werde ihn nicht mehr los. Könnt ihr mir helfen? Ich habe das kleine Tool SpHjfix.exe schon ausprobiert. Es kam die Meldung: Stealth-String not found -> Programm terminated. Hier meine LOG-Datei von HiJackThis:
Logfile of HijackThis v1.98.0
Scan saved at 20:47:03, on 21.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\PROGRA~1\CACHEM~1\CachemanXP.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton Internet Security\NISUM.EXE
d:\Programme\Norton Utilities 2002\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
d:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\Norton Internet Security\SymProxySvc.exe
D:\Programme\Norton Internet Security\NISSERV.EXE
D:\Programme\The Cleaner 4.1\tcm.exe
D:\Programme\The Cleaner 4.1\tca.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
D:\PROGRA~1\NORTON~1\navapw32.exe
D:\Programme\Norton Internet Security\IAMAPP.EXE
D:\Programme\PestPatrol\PPMemCheck.exe
D:\Programme\PestPatrol\PPControl.exe
D:\Programme\PestPatrol\CookiePatrol.exe
D:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe
D:\Programme\RFA\rfagent.exe
D:\Programme\Trojancheck 6\tcguard.exe
D:\Programme\Spamihilator 0.9.5\spamihilator.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\HDD Thermometer\HDD Thermometer.exe
D:\Programme\NETGEAR\WG111 Configuration Utility\WG111.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Michael\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Michael\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Michael\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Michael\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Michael\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Michael\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/slv/ycheck/as...om/search?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {97605944-106C-4834-AE50-E03D29086589} - C:\WINDOWS\System32\hhc.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [tcmonitor] d:\Programme\The Cleaner 4.1\tcm.exe
O4 - HKLM\..\Run: [tcactive] d:\Programme\The Cleaner 4.1\tca.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [POINTER] c:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Ad-aware] "D:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [PPMemCheck] D:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PestPatrolCL] D:\Programme\PestPatrol\PPCL.exe c:\
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "d:\Programme\Elaborate Bytes\CloneDVD v1.3.10.1\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "d:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [RFAgent] d:\Programme\RFA\rfagent.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [zSPGuard] d:\programme\pjw\spguard 2.5\spguard.exe /s
O4 - HKCU\..\Run: [Spamihilator] "d:\Programme\Spamihilator 0.9.5\spamihilator.exe"
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [RSD_HDDThermo] d:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - Global Startup: Mountit.lnk = D:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} - http://www.pestscan.com/scanner/axscanner.cab
O18 - Filter: text/html - {07878A59-8FFE-4B67-97AA-321C897D4CE1} - C:\WINDOWS\System32\hhc.dll
O18 - Filter: text/plain - {07878A59-8FFE-4B67-97AA-321C897D4CE1} - C:\WINDOWS\System32\hhc.dll

Schon mal tausend Dank im voraus. Ich hoffe, daß mir jmd. helfen kann. :heulen:

So, abgesicherter Modus und dies dann bitte fixen:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Michael\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Michael\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Michael\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Michael\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Michael\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Michael\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {97605944-106C-4834-AE50-E03D29086589} - C:\WINDOWS\System32\hhc.dll
O18 - Filter: text/html - {07878A59-8FFE-4B67-97AA-321C897D4CE1} - C:\WINDOWS\System32\hhc.dll
O18 - Filter: text/plain - {07878A59-8FFE-4B67-97AA-321C897D4CE1} - C:\WINDOWS\System32\hhc.dll

Danach Browerwechsel, um zukünftig sowas zu vermeiden!
www.firefox-browser.de ist schnell, sicher und kostenlos.

Bitte auch die Datei C:\WINDOWS\System32\hhc.dll nach dem fixen manuell löschen und den Ordner C:\DOKUME~1\Michael\LOKALE~1\Temp\ leeren.
Evtl. auch mal eScan (s. Signatur) über den Rechner schicken.

Nicht nur eventuell Escan drüberschicken, sondern auf jedenfall im abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm
EScan
http://www.rokop-security.de/board/i...showtopic=3867
Scannen lassen

Gruß paff

:daumenhoc Vielen Dank für eure Hilfe. Ich habe das Problem schon lösen können. Ich habe im Pfad C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\ den Übeltäter gelöscht und dann mit SpyBot - Search and Destroy nochmal gescannt. Rechner neu hochgefahren, spyBot scannte nochmal und der Explorer war von der lästigen Startseite befreit. Ach ja, vor dem Booten habe ich noch mal HiJackThis laufen lassen und die Einträge gelöscht.

Trotzdem tausend Dank... :D