Bitte dringend um Hilfe! Trojaner und oder Hijacker?

cicero

Hallo,

ich möchte hier mein Problem mit allen bisher unternommenen Gegenmaßnahmen beschreiben, sodaß mir ein Experte bestätigen kann, ob ich den Hijacker und/oder Trojaner nun endgültig los bin oder nicht.

Vorgestern abend wurde ich plötzlich auf eine "searching for..." benannte Internetseite umgeleitet, sobald ich eine neue Seite im Internet Explorer öffnete. Die Adresse blieb allerdings bei "about:blank" stehen (meine Voreinstellung). Dazu öffnete sich ein Popupfenster mit der Meldung, daß mein PC nun mit Spyware infiziert sei.

Daraufhin habe ich die mir bekannten Anti-Spyware-Programme von einer CD aus installiert und nach den entsprechenden Updates ausgeführt. Es sind dies: Ad-Aware, SpyBot Search& Destroy und Spy Sweeper. Diese Programme fanden nun verschiedene Malware und entfernten sie (laut Angabe) vollständig von meinem Rechner. Allerdings war das Problem damit keinesfalls behoben. Bei jeder neu geöffneten Seite wurde ich wieder umgeleitet und die Anti-Programme fanden, sooft ich sie ausführte, immer wieder dieselbe Malware. Daraufhin startete ich das CWShredder-Programm, womit das Problem tatsächlich behoben schien.

Allerdings hatte ich mich zu früh gefreut, denn obschon ich nun nicht mehr umgeleitet wurde, arbeitete mein Rechner am folgenden Morgen etwa 10 bis 20 mal langsamer als gewöhnlich, und zwar sowohl on- wie auch offline. Das Öffnen eines Ordners im normalen Windows-Explorer dauerte z.B. über eine Minute und auch das kleinste Programm ließ sich fast gar nicht mehr öffnen. Als ich den Rechner am Abend wieder hochfuhr, arbeitete er plötzlich wieder mit normaler Geschwindigkeit, aber zu meinem Schrecken war nun wieder die Umleitung aktiv. Auch das bekannte Popup-Fenster meldete sich wieder. Daraufhin habe ich das CWShredder-Programm erneut ausgeführt und fand auch wieder die gleichen Bösewichter. Danach arbeitete der PC wie gehabt wieder in Zeitlupe.

Heute morgen habe ich dann im abgesicherten Windows-Modus mehrere Antivirusprogramme suchen lassen (Norton und Kaspersky), die allerdings nichts fanden. Wie gestern arbeitete der PC im Normalmodus weiterhin entsetzlich langsam. Nun wurde ich auf die "trojaner-info.de"-Seite aufmerksam und versuchte es mit dem SpHjfix-Programm.

Hier die von SpHjfix hergestellte Logdatei:
16.07.04 15:09:59 SPhjFix started v1.07
16.07.04 15:09:59 Stealth-String found: C:\WINDOWS\SYSTEM\LOG.DLL
16.07.04 15:10:01 Restart
16.07.04 15:14:48 2nd Step
16.07.04 15:14:49 Hijack-DLL: C:\WINDOWS\SYSTEM\LOG.DLL (deleted)
16.07.04 15:14:49 BHO-DLL: (not found)
16.07.04 15:14:49 Bad IE-pages found:
16.07.04 15:14:56 Cleaned

Nach dem Neustart habe ich das CWShredder-Programm, wie empfohlen, erneut ausgeführt, diesmal fand es aber nichts mehr. (Könnte das daran liegen, daß ich, wie gesagt, den CWShredder vor dem SpHjfix bereits zweimal ausgeführt hatte?) Das Problem scheint nun behoben.

Um ganz sicherzuzgehen habe ich aber mit HijackThis diese Logdatei abgespeichert, und bitte nun einen Experten um Hilfe. Über jeden Ratschlag würde ich mich sehr freuen. Vielen Dank im voraus!

Logfile of HijackThis v1.98.0
Scan saved at 18:30:00, on 16.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY PROFESSIONAL\NISUM.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY PROFESSIONAL\CCPXYSVC.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\LOGITECH\KEY COMMANDER\COMMANDR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\SCANSOFT\OMNIPAGEPRO12.0\OPWARE12.EXE
C:\SBPCI\CTMIX32.EXE
C:\PROGRAMME\CREATIVE\MEDIASOURCE\REMOTECONTROL\RCMAN.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\EIGENE DATEIEN\DIENSTPROGRAMME\HIJACKTHIS.EXE

O1 - Hosts: 203.161.127.141 www.dcsresearch.com
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [Browser Launcher] C:\PROGRA~1\LOGITECH\KEYCOM~1\Commandr.EXE /HIDDEN
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [hpppta] C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Opware12] "C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [BCDetect] C:\WINDOWS\SYSTEM\bcdetect.exe defer
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Internet Security Professional\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Start GetRight.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Copernic - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Programme\Copernic 2001 Basic\Copernic.exe
O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Programme\Copernic 2001 Basic\Copernic.exe
O9 - Extra 'Tools' menuitem: Launch Copernic 2001 - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Programme\Copernic 2001 Basic\Copernic.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: EPT Applet - https://www.ccp-connect.lu/exbanking.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/144637afa5eafcb...p/RdxIE601.cab