Hi,
hab alle Tools probiert, bekomm den Hijacker aber nicht weg.
Kann mir einer helfen ?
Hier mein Log:


Logfile of HijackThis v1.98.2
Scan saved at 22:36:56, on 25.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Sti_Trace.log:iztwr
C:\WINDOWS\System32\WT32EXE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\addqp32.exe
C:\Dokumente und Einstellungen\tomdog\Desktop\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {CA3DBCBC-A9A8-DC34-BDB0-DC89DBF6BD82} - C:\WINDOWS\sdkeg.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SysA] C:\windows\system32\winfeu32.exe
O4 - HKLM\..\Run: [addqp32.exe] C:\WINDOWS\system32\addqp32.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABE50CF0-C8AC-4145-9901-92602429FBAC}: NameServer = 192.168.1.1

Wäre echt dankbar
ciao, der fall

@ der_fall - guten Morgen,

bitte fixe im abgesicherten Modus offline mittels Hijack This folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {CA3DBCBC-A9A8-DC34-BDB0-DC89DBF6BD82} - C:\WINDOWS\sdkeg.dll

Überprüfe bitte mittels Online-Scan bei Kaspersky folgende Dateien:

C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\System32\WT32EXE.EXE
C:\windows\system32\winfeu32.exe
C:\WINDOWS\system32\addqp32.exe

Ausserdem solltest Du Hijack This in einen eigenes Verzeichnis kopieren wegen der Updates.

Vielleicht lädst Du Dir zur Sicherheit noch eScan runter und führst den Scan offline im abgesicherten Modus durch, nachdem Du ihn online geupdatet hast. Du findest den Link und die Anweisungen zu eScan in meiner Signatur unter "TI Hijacker-Rubrik".

Zu überlegen wäre ein Browserwechsel:

Mozilla
Mozilla Firefox
Opera

SD

Hi shadowdance,
Danke für deine Hilfe, hab ihn leider immer noch nicht wegbekommen.
Hijackthis konnte die Files zwar eliminieren, aber nur so lange ich offline war, sobald ich wieder online gegangen bin, hat sich der hijacker wieder eingenistet.
Ich surf jetz mit mozilla, denn hier greift der hijacker zum Glück nicht ein.
Aber das kann doch nicht sein, das man den nicht wegbekommt, hab seit gestern abend alles probiert, ohne Erfolg.
Aber wollte mir eh bald ne neue Platte zulegen, dann wird XP neu aufgesetzt und nur noch mit mozilla firefox gesurft.
Wenn jemand noch nen Tip hat, bitte posten, wäre sehr dankbar :-)

Hallo der_fall,

versuch's bitte mit diesem Programm SpHjfix.exe.
Alles was Du dazu wissen mußt, ist in meinem Link angegeben, auch der Download-Link ist dort zu finden.

SD

[edit] (obfuscated) müsste hinter der *.dll/sp.html stehen ... leider steht hinter der *.dll/sp.html #29126 ... aber vielleicht funktioniert es trotzdem? [/edit]

...hab ich schon probiert, geht nicht.

Zitat:

Zitat von Shadowdance

[edit] (obfuscated) müsste hinter der *.dll/sp.html stehen ... leider steht hinter der *.dll/sp.html #29126 ... aber vielleicht funktioniert es trotzdem? [/edit]

Wofür dieser Hinweis auf der verlinkten Seite wohl steht?!?
Wie deutlich muss es eigentlich dort stehen, dass man/frau es versteht?!?

@der_fall
Hast Du es schon mit eScan versucht?
Wobei, wenn Du eh neu aufsetzen willst, würde ich mir gar nicht die Mühe machen...

Hallo Lutz,

Zitat:

Zitat von Lutz

Wofür dieser Hinweis auf der verlinkten Seite wohl steht?!?
Wie deutlich muss es eigentlich dort stehen, dass man/frau es versteht?!?

... ich hab's befürchtet Was freue ich mich, Dich hier zu sehen
Sind die vielen Kisten Bier schon bei Dir angekommen? Unzählige User würden sich gerne bei Dir bedanken. Ohne Deinen Einsatz hätten sie ihre Computer vielleicht doch aus dem Fenster geworfen. Was dabei alles passieren kann ....

Eine Frage an Dich und Euch Fachleute:

Ihr habt dieses Programm entwickelt für Einträge, die auf *.dll/sp.html (obfuscated) enden. Könnt Ihr das Programm nicht erweitern auf Einträge, die auf *.dll/sp.html #29126 enden ???

Ich bin kein Fachmann, auch keine Fachfrau .. es ist nur eine Frage ...



SD

Zitat:

Zitat von Shadowdance

Was freue ich mich, Dich hier zu sehen

...

Zitat:

Sind die vielen Kisten Bier schon bei Dir angekommen?

Nein. Das wäre auch nicht 'bedarfsorientiert'.

Zitat:

Unzählige User würden sich gerne bei Dir bedanken.

Woher weißt Du das? Haben Sie (die User) Dir das erzählt?

Zitat:

Ohne Deinen Einsatz hätten sie ihre Computer vielleicht doch aus dem Fenster geworfen. Was dabei alles passieren kann ....

Kein Kommentar...

Zitat:

Ihr habt dieses Programm entwickelt für Einträge, die auf *.dll/sp.html (obfuscated) enden. Könnt Ihr das Programm nicht erweitern auf Einträge, die auf *.dll/sp.html #29126 enden ???

Zitat:

von der Seite:
Leider gibt es mittlerweile verschiedene Variante, die ebenfalls eine leere Startseite mit 'about:blank' vortäuschen, sich aber in der Art der Infektion deutlich von der ursprünglichen Variante unterscheiden.

Noch fragen?

Das Tool wurde nicht von uns, sondern ganz alleine von seeker entwickelt. Wir (Roman, raman, paff und ich) haben nur zugearbeitet!
Wenn die Weiterentwicklung so einfach wäre, hätte seeker das bestimmt bereits getan. Aber Nasivin lässt sich auch nicht so eben auf Heuschnupfen 'umprogrammieren'...
Außerdem sollte das Tool nur eine Zwischenlösung darstellen. Zum damaligen Zeitpunkt war noch nicht abzusehen, dass die Weiterentwicklung des CWShredders eingestellt werden würde...

@ Lutz

Zitat:

Zitat von Lutz

... Woher weißt Du das? Haben Sie (die User) Dir das erzählt?

ja

Zitat:

Noch fragen?

nein

Zitat:

Das Tool wurde nicht von uns, sondern ganz alleine von seeker entwickelt. Wir (Roman, raman, paff und ich) haben nur zugearbeitet!

finde ich toll.

Zitat:

Wenn die Weiterentwicklung so einfach wäre, hätte seeker das bestimmt bereits getan. Aber Nasivin lässt sich auch nicht so eben auf Heuschnupfen 'umprogrammieren'...

... tja .. ich programmiere nicht, entwickle nicht .. ich wende nur an.
Eben deswegen hatte ich eine Frage gestellt.

Herzlichen Dank für Deine Anwort.

SD