Hallöchen,

bräuchte mal Eure Hilfe bzw. Rat.

Habe mir offensichtlich einen hartnäckigen hijacker eingefangen, der
hartnäckig auf die Seite res://lyzcp.dll/index.html#37049 zugreifen will.

Habe den hijackthis.log-file sowohl manuell, als auch automatisch
(auf der entsprechenden web-Seite) ausgewertet.
Die Einträge, die verdächtig sind lauten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lyzcp.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lyzcp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lyzcp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\lyzcp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lyzcp.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lyzcp.dll/index.html#37049

O2 - BHO: (no name) - {11D7CE2C-3C7E-172D-9EE7-2407FBE0C0CF} - C:\WINDOWS\system32\sdkmr.dll


Wenn ich die Einträge mit HijackThis fixe, tauchen sie einfach wieder auf (wenn ich online gehe, bzw. gegangen bin; im offline Modus tut sich nix)

CWShredder findet nichts.

Spybot meldet '5 DSO Eploit':

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-1\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-21-11802597-2209122452-3790020587-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-2\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

(ALs Erklärung für die Einträge gibt Spybot an, daß es sich um Sicherheitslücken im IE6 handelt, durch die fremde Webseiten Code ausführen können). Wenn ich die Einträge fixe, tauchen sie ebenfalls wieder auf.

ADAware findet nichts.

EScan (im abgesciherten Modus, wie auch im normalen Modus) meldet dann die (zu obigen Einträgen unter R0/R1 gehörenden) Trojaner:

lyzcp.dll infected "TrojanDownloader.Win32.Winshow.u"
uwofv.dll infected "TrojanDownloader.Win32.Winshow.u"

...und löscht natürlich die entsprechenden Dateien.

So...und wenn ich glaube, jetzt sei alles in Ordnung, dann ist es das nicht. Denn kurze Zeit im Internet, und obiges wiederholt sich. Allerdings mit anderen dll-file-Namen und einer anderen Startseite.

D.h., es muss irgendwo eine dll geben, die die gelöschten Dateien (bis 26 kB gross) immer wieder neu generiert und ihnen stets neue Namen gibt.

Als Windowssystem habe ich XP homeedition, Firewall von MCAfee, IE6 (jaja, werde auf Opera umstellen).

Wenn jetzt jemand von Euch eine Idee hat, wie ich den Virus/Wurm/Hijacker wieder entferne, ohne gleich das System neu aufzuspielen, bitte melden.

Dank im Voraus
Bernie

Bezüglich des DSO Exploit: Das ist ein Bug von Spybot. Wird in kürze mit einem Update behoben.

Bitte poste doch mal das HijackThis-Log.