@MountainKing, genau das habe ich ja getan !
Abgesicherter Modus, Systemwiederherstellung deaktiviert, gefixt, Start im normalen Modus, Systemwiederherstellung wieder aktiviert und neu gebootet. Und dennoch ist der Eintrag da.
@Tom59, ja, der Eintrag gehört zum IE-Helper und ich fand ihn nicht vertrauenswürdig. Denn WinPatrol meldete mir damals diesen "neuen" IE-Helper, der vorher noch nicht da war ! Und seitdem hatte ich ja auch die Probleme.
Dank eurer Ratschläge bin ich jetzt auf den Firefox umgestiegen.

Ich möchte nur wissen, ob es wichtig ist, diesen Eintrag noch wegzukriegen. Ich habe mich dran gehalten, was mir @Shadowdance geraten hat.
Ansonsten gibt es vorerst keine Probleme mehr und ich hoffe, es bleibt so.

Biott

@ Biott

kannst Du bitte nochmal ein neues Hijack This Logfile posten? --> Thx.

Gut, @Shadowdance.
Hier also noch mal mein Logfile, es dürfte sich kaum was dran geändert haben seit dem 18.01., als ich es hier gepostet habe...

Logfile of HijackThis v1.98.2
Scan saved at 19:43:40, on 21.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\Clipinc\Server\ClipInc-Server.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internettools\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Birthday.exe.lnk = C:\Programme\Birthday\Birthday.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104418148375
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDE324E6-924A-4E43-BF78-F05AD52CE9A8}: NameServer = 192.168.120.252,192.168.120.253


Ich nehme an, dass du das Ergebnis der gewünschten Dateiprüfung "fpdisp4.exe" noch nicht gesehen hast - es war okay. Meines Wissens gehört die Datei zu "FinePrint".

Nun gib mal Laut, was ich mit "02-BHO. (no name)" machen soll.
Wie gesagt, gehört zu Acrobat-Reader IE-Helper, den ich aber plötzlich ganz neu hatte - zumindest hatte mir das WinPatrol so gemeldet. Und genau zu dieser Zeit fingen ja auch die Meldungen über TR/Drop/Small.NK an.
Ich habe alles so gemacht, wie du geraten hast. Habe auch im abgesicherten Modus gefixt und vorher die Systemwiederherstellung deaktiviert. Trotzdem taucht der Eintrag wieder auf.
Windows habe ich nun auch mit SP2 geupdatet.
Keine Virenmeldungen mehr, eScan ist ebenso okay, auch CWShredder findet nix mehr. System läuft top.

Biott

Zitat:

In den abgesicherten Modus booten, die Systemwiederherstellung deaktivieren, mit Hijack This fixen (Häkchen setzen u. auf Fix Checked klicken - gemäß Anleitung)

R3 - Default URLSearchHook is missing
O1 - Hosts: 212.33.69.3 js1.hitbox.com
O1 - Hosts: 212.33.69.3 stats.hitbox.com
O1 - Hosts: 212.33.69.3 pagead2.googlesyndication.com
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/...all/xscan53.cab

Zitat:

In den normalen Modus booten. Systemwiederherstellung aktivieren, neu booten.

Zitat:

Zitat von Biott

Danke chaosman für den Tip. Werde ich machen.
Im Windows-Verzeichnis hat mein Security-Task-Manager übrigens eine äußerst fragwürdige Datei ohne jegliche Beschreibung gefunden:
ahf.dll
Ich habe sie umbenannt in ahf.txt - erst mal sehen, was passiert.
Kann das ein weiteres Überbleibsel sein ??

Biott

Hallo Biott,
hast du "Arkas Hide Folders" installiert, ein Proggi um Ordner unsichtbar zu machen? Wenn ja ist die "ahf.dll" eine notwendige Datei dafür.

Offenbar gibt es Leute, die es installiert und diese DLL an AntiVir gemeldet haben. Seit dem letzten Update wirde nämlich genau diese DLL vom AV Guard angemeckert und wenn du sie löscht läuft das nette Proggi nicht mehr