Fieser Hijacker
 

Hallo liebe Community

Habe mir vor ein paar Tagen einen fiesen Hijacker eingefangen.
Unter anderem ging kein Kontextmenü (Rechtsklick) mehr,
Desktopicons waren verschwunden (Ordner C:\Desktop wurde vom Hijacker installiert und geladen) und diverse andere Dinge.

Habe es geschafft mit Ad-Aware, Giant Antispy, Spybot Search & Destroy und Tuneup - alles natürlich im abgesicherten Modus - und einigen Registry-Kenntnissen geschafft das fiese Ding loszuwerden.

Nur ein Problem ist geblieben!!!!!!!!!!

Über Anzeige / Darstellung (Desktop-Wallpaper) läßt sich nichts mehr ändern
(Desktop Hintergrund bleibt weiß) und einige Internetseiten (mit php) werden nicht mehr dargestellt.

Hab auch noch mal ein HijackThis Log-File erstellt.

Wer kann mir helfen?

Logfile of HijackThis v1.99.1
Scan saved at 12:22:37, on 11.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\hidserv.exe
D:\Programme\KEN!\KENCLI.EXE
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINNT\System32\mgabg.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\WINNT\System32\PDesk\PDesk.exe
D:\Programme\Logitech\iTouch\iTouch.exe
D:\WINNT\Logi_MwX.Exe
D:\Programme\HP PrecisionScan\PrecisionScan\HPLamp.exe
D:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a.exe
D:\Programme\GIANT AntiSpyware\gcasServ.exe
D:\WINNT\system32\ctfmon.exe
D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\Programme\Logitech\SetPoint\KEM.exe
D:\Programme\GIANT AntiSpyware\gcasDtServ.exe
D:\Programme\Logitech\SetPoint\KHALMNPR.EXE
D:\PROGRA~1\Webshots\webshots.scr
D:\Programme\Winzip\WZQKPICK.EXE
D:\Programme\ZDFnachrichtenkurier\ZDF Nachrichtentelegramm (Version 1.3 - Deutsch).exe
D:\Programme\Internet Explorer\iexplore.exe
E:\Downloads\neue Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metaspinner.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://D:\PROGRA~1\Toolbar\toolbar.dll/sa
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.115.1:3128;https=192.168.115.1:3128;ftp=192.168.115.1:3128;socks=192.168.115.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] D:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HP Lamp] D:\Programme\HP PrecisionScan\PrecisionScan\HPLamp.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "D:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "D:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [gcasServ] "D:\Programme\GIANT AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe
O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Webshots.lnk = D:\Programme\Webshots\Launcher.exe
O4 - Startup: WinZip Quick Pick.lnk = D:\Programme\Winzip\WZQKPICK.EXE
O4 - Startup: ZDF Nachrichtentelegramm.lnk = D:\Programme\ZDFnachrichtenkurier\ZDF Nachrichtentelegramm (Version 1.3 - Deutsch).exe
O8 - Extra context menu item: Download with GetRight - D:\MP3\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\MP3\GetRight\GRbrowse.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Microsoft AntiSpyware helper - {A5554B7C-8FB9-4EBF-BD36-D879F339B47F} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {A5554B7C-8FB9-4EBF-BD36-D879F339B47F} - (no file) (HKCU)
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/17215a4a...dxIE601_de.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O16 - DPF: {FDC847F8-DA70-4442-8072-FF883F34D14A} - http://toolbar.dasoertliche-marketin...SuchLeiste.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8948908D-98C2-4FCE-81C0-AF84EA729876}: NameServer = 192.168.115.1
O20 - Winlogon Notify: drct16 - D:\WINNT\SYSTEM32\drct16.dll
O23 - Service: AVG6 Service (AvgServ) - Unknown owner - D:\PROGRA~1\AVG6\avgserv.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - D:\Programme\KEN!\KENCLI.EXE
O23 - Service: MGABGEXE - Matrox Graphics Inc. - D:\WINNT\System32\mgabg.exe

Ok schauen wir uns das mal an :

Böse =

O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted IP range: 67.19.185.246

ganz böse =

O20 - Winlogon Notify: drct16 - D:\WINNT\SYSTEM32\drct16.dll

Ich rate Dir mal Dein System mit eScan zu scannen und dann das Log nach dem Wort "Infected" zu suchen und dann den Teil kopieren und hier einfügen, wo steht, was wann wo und wieviel gefunden wurde.

Das verschafft mehr Klarheit.

Bitte im ABGESICHERTEN Modus scannen UND meine Signatur lesen :)