Hallo liebe Forumsteilnehmer,
habe mir einen Highjacker eingefangen und poste hier mal das HighjackThis log File.
Es sieht so aus als ob dieser Trojaner mit Stichwörtern arbeitet und nicht nur bestimmte Seiten wie Windows Update nicht zulässt, er blockiert seit eben auch Spybot...

Logfile of HijackThis v1.98.1
Scan saved at 16:45:53, on 04.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\NavNT\vptray.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Digital Image\Monitor.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\PROGRA~1\TOBITI~1\DVREMIND.EXE
C:\Toolz\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://66.230.227.44/search.html?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://66.230.227.44/search.html?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2D51CD7F-D084-4BF3-9F08-17E70FE2CD1F} - C:\WINNT\system32\hhgi.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC SE\routcnf.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Digital Image Monitor.lnk = C:\Programme\Digital Image\Monitor.exe
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Verknüpfung mit logon.bat.lnk = ?
O13 - WWW. Prefix: http://ehttp.cc/?
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = etf.dom
O18 - Filter: text/html - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll
O18 - Filter: text/plain - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll

Ich bin dankbar für jeden Tip.

Danke luzs

Das das Problem von Spybot an dem Hijacker liegt halte ich für ein Gerücht.
Aber schick mal bitte die Datei C:\WINNT\system32\hhgi.dll zu partytime-germany.ice@web.de

Anschließend bitte folgendes fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://66.230.227.44/search.html?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://66.230.227.44/search.html?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {2D51CD7F-D084-4BF3-9F08-17E70FE2CD1F} - C:\WINNT\system32\hhgi.dll
O4 - Global Startup: Verknüpfung mit logon.bat.lnk = ?
O13 - WWW. Prefix: http://ehttp.cc/?
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = etf.dom
O18 - Filter: text/html - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll
O18 - Filter: text/plain - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll

Danach die Datei C:\WINNT\system32\hhgi.dll manuell löschen.
Bitte vergesse nicht die Datei vorher an die obige Adresse zu schicken.

Um dich zukünftig vor Hijacker zu schützen, solltest du einen anderen Browser verwenden: www.firefox-browser.de ist schnell, sicher und kostenlos.

Hallo luzs

Zitat:

C:\WINNT\System32\mspmspsv.exe

Info: http://www.2-files.com/filename/mspmspsv-exe

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://66.230.227.44/search.html?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = h**p://66.230.227.44/search.html?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
.....
O2 - BHO: (no name) - {2D51CD7F-D084-4BF3-9F08-17E70FE2CD1F} - C:\WINNT\system32\hhgi.dll
....
O4 - Global Startup: Verknüpfung mit logon.bat.lnk = ?
O13 - WWW. Prefix: h**p://ehttp.cc/?
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = etf.dom
O18 - Filter: text/html - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll
O18 - Filter: text/plain - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll

Alles Zitiertes bitte fixen. Falls hilft nicht - PC neu aufsetzen.
PS: *Christian* war schneller .

Hallo Christian, hallo Rene-gad,
vielen Dank für die Tipps zu meinem Trojaner.
Habe entsprechend Liste alle Einträge außer

O4 - Global Startup: Verknüpfung mit logon.bat.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = etf.dom

gelöscht. Bei den genannten Einträgen handelt es sich um notwendige Netzwerkeinträge.
Habe dann die Trojaner dll entsprechend gemailt.
PC ist dank euch wieder clean.

luzs

Die Datei hhgi.dll war ein alter Hijacker.