Ich kriege meine HiJacker nicht weg und verzweifle bald!

Ich hab schon über Google und anderen Foren nach der Variante gesucht, alle Lösungstips habe nicht geholfe. Auch Adware und WShredder halfen nicht!

Das Teil wird zwar entfernt, aber es gibt noch irgendwo etwas auf der Festplatte, weil es nach einiger Zeit wieder installiert wird.

Ich denke ich habe auch den Auslöser, wann das Progi wieder installiert wird gefunden.

Wenn ich das Teil entferne und noch 3-4 Tagen im Internet Explorer auf Ansicht > Quelltext anzeigen gehe erhalte ich wieder die Icons "Online Pharmacia" und "Fast Loans" auf dem Desktop sowie den Favoriten Link ~VIP Free Porn~.
Die Funktion Quelltext anzeigen funktioniert auch nicht mehr - sprich es wird nicht mehr Notepad geöffnet.

Hier das LogFile
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
C:\Programme\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\mspaint.exe
C:\Dokumente und Einstellungen\Uni\Eigene Dateien\Hijack\hijackthis\HijackThis.exe
C:\Dokumente und Einstellungen\Uni\Eigene Dateien\Hijack\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {0E4796D6-A990-4372-9069-72FBDB4AE868} - http://www.one2one.com/static/class/one2oneSvc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E8C86D1-3072-4577-9D32-B7E85C81CAB2}: NameServer = 145.253.2.81 145.253.2.203
O17 - HKLM\System\CS1\Services\Tcpip\..\{3E8C86D1-3072-4577-9D32-B7E85C81CAB2}: NameServer = 145.253.2.81 145.253.2.203

warum hast du den oberen teil des logs entfernt? da wär gestanden was du für'n betriebssystem hast!

okey, also systemwiederherstellung deaktivieren vorübergehend und diese einträge fixen: oder hast du das als startseite und so oft geöffnet? sicherheitshalber weggeben, es sollte dann die microsoft homepage komen wenn du keinen eintrag (mehr)hast...

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

wie kommt sowas in die vertraulichen seiten/zone??
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com

auch fix checked!

gruss
rock

[ 07. Juni 2004, 15:08: Beitrag editiert von: rock' ]

Hallo und Willkommen an Board,

</font><blockquote>Zitat:</font><hr />O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll</font>[/QUOTE]Das muss auch gefixt werden und die Datei C:\WINDOWS\winres.dll gelöscht werden.

Eigentlich sollte ein aktueller CWShredder (Version 1.59.0) schon seit längerem in der Lage sein, diese Variante zu entfernen.
Guckst Du auch hier: http://www.spywareinfo.com/%7Emerijn...es.html#winres

Gruß,
Lutz

Die Trusted Siten werden von dem Hijacker angelegt. (Betriebsystem ist standardmäßig wie bei den meisten WinXP und IE6, daher ist wohl echt Mozilla zu empfehlen...)

Mit dem Shredder habe ich die URLs dir Rock genannt hatte entfernt und auch die Trusted Sites
sowie das win.res Teil.

!!!! Jedoch kommt der Hijacker wieder zurück. Und zwar habe ich festgestellt dass der Shredder wieder einen Winres eintrag entfernt wenn ich im InternetExplorer auf "Quelltext anzeigen" gehen (Wie oben gesagt funktioniert diese Funktion auch nicht mehr. Sondern wenn ich Sie aktiviere läd irgendetwas den Hijacker)

Wo kriege ich raus mit was diese Funktion in der Registry verknüpft ist - bzw. wie dort der richtige Eintrag lauten müßte damit sich Notepad wieder öffnet und nicht Winres.dll geladen wird.

[ 07. Juni 2004, 15:45: Beitrag editiert von: Hilfe-Hijacked ]

</font><blockquote>Zitat:</font><hr />Mit dem Shredder habe ich die URLs dir Rock genannt hatte entfernt und auch die Trusted Sites sowie das win.res Teil.</font>[/QUOTE]Der CWShredder macht das 'normalerweise' selbständig, ohne das Du irgendetwas händisch entfernen musst.
Bist Du sicher, dass Du dieses Tool
http://www.chip.de/downloads/c_downl...5bd0d4a7b5c99e
verwendet hast?!?

Zuerst habe ich es händisch mit HijackThis gemacht.

Anschließend auf Euer raten hin mit dem Shredder, der es automatisch entfernt.

Ich habe jetzt das Problem, dass ich mein System wieder mit dem Teil infiziere, wenn ich im Browser auf Ansicht &gt; Quelltext anzeigen gehe.

Dann findet der Shredder auch wieder das Win.res Teil.

Solange ich nicht auf Quelltext anzeigen klicke findet dere Shredder hingegen nichts...

Wenn das jetzt 'nur' noch passiert, wenn Du Dir den Quelltext anschaust, könnte u.U. der Editor (der wird ja dann gestartet) infiziert sein.

Lade Dir mal das Free eScan Antivirus Toolkit Utility herunter und scanne Deinen Rechner im abgesicherten Modus Deines Rechners. Vielleicht findet der etwas.
Wenn ja, poste bitte, was gefunden wurde

Viele Dank für den super Tip!

Mon Jun 07 23:10:50 2004 =&gt; File C:\WINDOWS\System32\notepad.com infected by "TrojanDropper.Win32.Small.hi" Virus. Action


Was ist das für ein Scanner? Ist der komplett umsonst? Das Teil ist echt klasse!

</font><blockquote>Zitat:</font><hr />Was ist das für ein Scanner? Ist der komplett umsonst? Das Teil ist echt klasse! </font>[/QUOTE]Hinter eScan 'verbirgt' sich die Scan-Technik sowie die Virendefinitionen von Kaspersky.
Daher erkennt eScan im Gegensatz zu manch anderem AV-Scanner auch schon wesentlich mehr Hijacker-Varianten.
In der so herunterladbaren Version ist eScan in der Tat komplett kostenlos und ich hoffe, das bleibt er auch.
Allerdings bietet eScan keinen 'Echtzeitschutz' oder 'Virenwächter' an, sondern ist ein reiner 'OnDemand-Scanner'. OnDemand-Scanner suchen nur dann nach Malware, wenn sie vom Benutzer aufgerufen werden.

Es gibt auch keine Update-Funktion für Virensignaturen. Allerdings wird eScan häufig komplett aktualisiert und kann/muss dann auch komplett ( ~4MB) heruntergeladen werden. Bis vor kurzem waren es meist wöchentliche Updates. Zu Zeit sind es tägliche...