TR/Drop/Small.NK
 

HI,
ich hatte kürzlich TR/Drop/Small.NK auf dem Rechner. Keine Ahnung, woher. "AntiVir" hat Alarm geschlagen und gelöscht. Trotzdem habe ich seitdem beim Online-Scan von HoouseCall immer wieder eine Trojanermeldung in C:\Temp. Die Datei heißt immer wieder anders:
V39C3CA01368 oder
V3BC3CA00504 oder
V3A43CA01328 oder oder oder...
Es hat nicht gebracht, das Temp-Verzeichnis zu löschen, die Systemwiederherstellung zu deaktivieren, neu zu starten und wieder zu aktivieren.
Spybot-Search&Destroy bringt keine Abhilfe, auch CWS-Shredder nicht und selbst der eScan findet nix. Wie werd ich den Mist bloß los ???
Logfile of HijackThis v1.98.2
Scan saved at 19:16:13, on 02.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\Clipinc\Server\ClipInc-Server.exe
C:\WINDOWS\System32\Fast.exe
C:\Programme\Internettools\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hyrican.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O1 - Hosts: 212.33.69.3 js1.hitbox.com
O1 - Hosts: 212.33.69.3 stats.hitbox.com
O1 - Hosts: 212.33.69.3 pagead2.googlesyndication.com
O1 - Hosts: 212.33.69.3 m1.nedstatbasic.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Birthday.exe.lnk = C:\Programme\Birthday\Birthday.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104418148375
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDE324E6-924A-4E43-BF78-F05AD52CE9A8}: NameServer = 192.168.120.252,192.168.120.253

Wer kann mir weiter helfen ???? :confused:

Biott

Fixe doch mal:

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61}
(HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab

R3 - Default URLSearchHook is missing
O1 - Hosts: 212.33.69.3 js1.hitbox.com
O1 - Hosts: 212.33.69.3 stats.hitbox.com
O1 - Hosts: 212.33.69.3 pagead2.googlesyndication.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hyrican.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.d
O1 - Hosts: 212.33.69.3 m1.nedstatbasic.net

Danke RWE-ler, hab ich gemacht. Aber das Problem ist leider nicht behoben. :heulen:
Habe in "Killbox" unter C:\ Dateien gefunden, die mir suspekt erscheinen:
TempIadHide3.dll
78875.sym
23990098.$$$
WINDOWSkj01d.sys

Weiß jemand, ob das "normal" ist ???

Biott

Hallo Leut's,
ich habs gefunden !!!! :daumenhoc

Der Übeltäter war
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

Nach dem Fix und erneuten Internetbesuchen war keine neue TR/Drop/Small.NK - Datei mehr auffindbar !

Also wieder mal eine Warnung, alle IE-Helper zu blockieren, auch wenn sie noch so vertrauenswürdig erscheinen !

Biott :party:

@Biott
besser wäre es den firefox als browser zu benützen,
den IE nur noch zum windowsupdate nützen
chaosman

Danke chaosman für den Tip. Werde ich machen.
Im Windows-Verzeichnis hat mein Security-Task-Manager übrigens eine äußerst fragwürdige Datei ohne jegliche Beschreibung gefunden:
ahf.dll
Ich habe sie umbenannt in ahf.txt - erst mal sehen, was passiert.
Kann das ein weiteres Überbleibsel sein ??

Biott

@ biott:
Lasse die Dir suspekt erscheinenden Dateien hier online scannen.
cacatoa

Habe die Datei ahf.dll online scannen lassen auf der Seite und das Ergebnis "infected" erhalten.
Dateien im Windows-Verzeichnis ohne jegliche Beschreibungen sollten von vorn herein als suspekt gelten...
Den Security-Task-Manager, der die Datei fand, ist zu holen unter http://www.neuber.com/taskmanager/deutsch/download.html . Kann ich nur empfehlen. Zum Download steht eine 30-Tage Testversion zur Verfügung.

Biott

Bitte, köntest Du das Ergebnis, das Jotti ergeben hat, mal posten?

Okay, hier das Ergebnis von Jotti:

File: ahf.dll

Status:
MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

Packers detected: UPX

AntiVir
No viruses found (0.14 seconds taken)
Avast
No viruses found (1.54 seconds taken)
BitDefender
No viruses found (0.38 seconds taken)
ClamAV
No viruses found (0.41 seconds taken)
Dr.Web
No viruses found (0.53 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
No viruses found (0.65 seconds taken)
mks_vir
No viruses found (0.23 seconds taken)
NOD32
No viruses found (0.41 seconds taken)
Norman Virus Control
No viruses found (0.12 seconds taken)

@ Biott

Wenn Du die ahf.dll noch hast, sende sie bitte passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread. Diese Mail-Adresse gehört *Christian*, einem Boardmitglied, der unbekannte Dateien einer Prüfung unterziehen kann. Wir würden gerne erfahren, um welche Malware es sich handelt.

Überprüfe Deinen Rechner nun mit dem eScan.

Erstelle einen neuen Ordner (=Verzeichnis) "c:\bases". Downloade den eScan. Beachte dazu die Anleitung im Link. Entpacke den eScan in den neuen Ordner "bases" auf "C:". Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

SD

Hier meine Ergebnisse des eScans:

Sat Jan 08 13:04:49 2005 => Total Files Scanned: 55887
Sat Jan 08 13:04:49 2005 => Total Virus(es) Found: 15
Sat Jan 08 13:04:49 2005 => Total Disinfected Files: 0

Sat Jan 08 13:04:49 2005 => Scan Completed.



Sat Jan 08 12:47:57 2005 => File C:\WINDOWS\system32\f3PSSavr.scr infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:18:45 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:43 2005 => File C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:43 2005 => File C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\M3OUTLCN.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3WPHOOK.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3SCHMON.EXE infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3RESTUB.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3PSSAVR.SCR infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3POPSWT.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3HTMLMU.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3HISTSW.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:00:48 2005 => File C:\WINDOWS\System32\f3PSSavr.scr infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.


Sieht ganz so aus, als wäre mein AntiVir infiziert, oder wie sehe ich das ???

Die "ahf.dll" habe ich passwortgeschützt an die angegebene eMail-Adresse geschickt. Die Mail kam leider zurück - die eMail-Adresse scheint es nicht zu geben. (???)

Biott

Doch, die Mailaddy gibt es: partytime-germany.ice@web.de

Wohin hast du es geschickt?

sorry, hab den Fehler schon entdeckt (hatte einen Buchstaben vergessen...) :headbang:

Die Datei müsste jetzt angekommen sein.
Biott

Datei ist da. Wo hast du die Datei gefunden? Pfadangabe wäre nützlich.

Steht schon weiter "unten" im Forum.
Ich habe sie direkt in C:\windows gehabt. Es war eine versteckte Datei und der Security-Task-Manager hat sie als "potentiell gefährlich" diagnostiziert.
Ich hatte sie dann erst mal über XP-Clean in eine Textdatei umbenannt und abgewartet, was passiert...

Gruß Biott

Okay, Ergebnis ist da.
Die Datei gehört zu einem HackTool.Win32.Hidd.d.
Christian hat sie weitergeschickt, damit sie zukünftig erkannt wird.
Freue mich, sowas gefunden zu haben und euch zu haben.

Seitdem ich die Datei eliminiert habe, meinen Virenscanner deinstalliert habe und wieder neu installiert habe, tauchen erst mal keine Probleme mehr auf.
MyWebSearch habe ich ebenfalls beseitigt und alle Registry-Einträge entfernt.
Mal sehen, was die nächste Zeit bringt.
:huepp:

Biott

Habe mein AntiVir am 12.01. geupdatet und alles (?) entfernen können, was zu dem Hacktool gehörte - die Antivirensoftware erkannte jetzt das Problem. Vorsichtshalber habe ich nochmals mein AntiVir deinstalliert und Onlinescans bei Panda und HouseCall gemacht - es war nichts mehr auffindbar.
Bevor ich meinen Virenscanner wieder installiert habe, hab' ich im abgesichterten Modus noch mal den eScan laufen lassen (nachdem ich auch diesen geupdatet hatte) und er fand noch folgenden Eintrag:

C:\System Volume Information\_restore{1B5FAC26-6A29-4D71-9CAC-9BA6F6105A19}\RP33\A0006287.dll infected by "HackTool.Win32.Hidd.d"

Diesen habe ich dann über das Dateitool von jvPowerTools gelöscht (geht aber sicher auch in "Killbox").
Bis heute ist bei täglichem Virenscan nichts mehr aufgetreten. Keinerlei Probleme, keinerlei Meldungen...

Danke auch noch mal an Christian, der die "fragwürdige" Datei weitergeleitet hat und der mir mit Hinweisen und Ratschlägen beigestanden hat.
Und natürlich auch Danke an alle anderen, die mir geantwortet haben zu diesem Thema und mich unterstützen konnten.

Biott

Hallo Biott,

es tut mir leid, wir haben Deinen Thread anscheinend übersehen. Sowas kann allerdings passieren. Deswegen meine Bitte an Dich und alle, die hier mitlesen, wenn wir Eure Threads übersehen, wenn also 1,2,3 Tage vergehen, ohne dass wir antworten, setzt Euch mit uns in Verbindung. Schiebt Eure Threads hoch oder meldet Euch bei uns per PN. Viele von Euch melden sich mit ganzen Logfiles in unseren Mailboxen .. das mögen wir garnicht. Aber zuviel Bescheidenheit wird Euch nicht weiterbringen. Es ist keine böse Absicht von uns .. hier ist einfach so viel los, dass leider ab und an mal ein Thread runterrutscht und nicht mehr von uns bearbeitet wird.

Die meiste Arbeit hast Du ja nun schon erledigt @ Biott ... vielleicht nützt es Dir, nachzuschauen, was wir Dir eigentlich empfohlen hätten.

Die Etappen meines Postings, die dieses Zeichen (*o*) tragen, könntest Du bitte noch erledigen.

(*o*) Mit dem Clear Prog kannst Du den Inhalt aller temporären Ordner leeren, wenn Du ein Häkchen' bei "Clear all"/"alles löschen" machst und auf "Clear"/"löschen" klickst. Das Programm macht vieles selbstständig, weiss was es zu tun hat und erleichert dem User das arbeiten.

------------------------------------

Diese Malware-Einträge hättest Du von Hand löschen sollen.

Dazu musst Du erst die Grundlage schaffen, damit Du die Dateien auch findest: --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

--> Boote dann (offline) in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, markiere/kopiere die Dateien, übertrage sie in die Windows Suche und lösche sie:

C:\WINDOWS\System32\f3PSSavr.scr
C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
C:\Programme\MyWebSearch\bar\1.bin\F3SCHMON.EXE

--> zum löschen von DLL's:
"entweder probierst du dies http://www.windows-tweaks.info/html/dllsuchexp.html oder du machst es so: Lade Dir Winfile.exe (einen älteren NT-Dateimanager) herunter und starte ihn. Navigiere im rechten Fenster zu der betreffenden dll, markiere sie und wähle im Menue Security die Option Permissions. Ändere im unteren Auswahlfenster die Zugriffsart auf Vollzugriff. Bestätige mit [OK]. Dann wähle im selben Menue die Option Owner und klicke auf [Besitz übernehmen]. Bestätige mit OK. Jetzt die Datei umbenennen in z.B. Malware.txt und die Nachfragen jeweils mit [OK] bzw. [Ja] bestätigen. Anschließend sollten diese Dateien sich löschen lassen (Cidre & Chaosman zitiert):"

C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL
C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3OUTLCN.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3WPHOOK.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3RESTUB.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3PSSAVR.SCR
C:\Programme\MyWebSearch\bar\1.bin\F3POPSWT.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3HTMLMU.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3HISTSW.DLL

Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. Neu booten.

-------------------------------------

(*o*) Downloade nun bitte noch die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3'. (Antwort zum DSO Exloit bei der Anwendung von Spybot-Search & Destroy 1.3). Update die Programme online. Scanne Deinen Rechner mit den beiden Programmen nacheinander und lass alle bestehenden Probleme beheben.

-------------------------------------

(*o*) Erstelle ein weiteres neues Hijack This Loggfile und poste es in diesen Thread.

Gut - ich habe noch mal alles durchgesehen.
Die von Hand zu löschenden Malwareeinträge hatte ich alle schon beseitigt. Lediglich im c:\windows\prefetch war noch ein Eintrag der MWSOEMON.EXE vorhanden, den ich entfernt habe (ich hoffe, das war okay)...
Clear Prog habe ich auch schon erledigt gehabt, ebenso den Scan mit Ad-Aware 6 Personal und Spybot-Search & Destroy.
Alles war vollständig sauber, auch der eScan im abgesicherten Modus brachte keine Meldung mehr.
Kann es sein, dass meine "TR/Drop/Small.NK"-Meldung und das neu gefundene Hacktool irgendwie in Verbindung standen - oder ist das Zufall ?

Hier also das aktuelle HijackThis-Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 10:08:11, on 17.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
c:\PROGRA~1\Clipinc\Server\ClipInc-Server.exe
C:\Programme\Internettools\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Birthday.exe.lnk = C:\Programme\Birthday\Birthday.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104418148375
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDE324E6-924A-4E43-BF78-F05AD52CE9A8}: NameServer = 192.168.120.252,192.168.120.253


Biott ;)

@ Biott

Platform: Windows XP SP1 (WinNT 5.01.2600) - ungepatchtes Betriebssystem: www.windowsupdate.com

Solange Du nicht bereit bist, Dein BS zu updaten, mein Link führt zu einem Direkt-Update für alle Patches und das SP2 (danke an den Kollegen, von dem ich den Link übernommen habe) und auf den IE zugunsten eines anderen Browsers, Alternative Browser, zu verzichten, wirst Du Dauergast bei uns bleiben und immer wieder Probleme mit Deinem Rechner haben.

--> boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/...all/xscan53.cab

bitte fixen, wenn Du diese Einträge nicht kennst/brauchst:

O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

Boote in den normalen Modus. Aktiviere die Systemwiederherstellung und boote neu.

---------------------
Deine Frage kann ich leider nicht beantworten, da ich dazu zu wenig Information habe.
---------------------

Überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4 .exe

teile uns das Ergebnis der Überprüfung mit.

Eine Frage zwischendurch - ich bin sehr wohl bereit, mein BS zu updaten. Anfang Januar habe ich geupdatet mit Service Pack 1. Service Pack 2 ist doch nicht für Home-Anwender, oder ?
Und mein Standardbrowser ist seit Dezember der FireFox.

Ist das okay ???????

Muss ich den IE deswegen ganz beseitigen ? Für Windows-updates brauche ich ihn doch noch, oder ?

Ich mach mich jetzt dran, die restlichen Einträge zu fixen.
Die Druckeinträge von Canon kommen vom "Pixma IP5000". Aber eigentlich brauche ich sie nicht und werde sie dann auch entfernen.

Biott

Firefox ist vollkommen ok!

Komm aber bitte nicht auf die Idee den IE zu löschen,er ist Bestandteil von XP und wird bei jedem Start mitgeladen!Wie du schon sagtest,wird er für die Updates benötigt!


Gruss

Schnell mal einmisch:
Servus HerKautz!
@ biott:
Falsch, ist genauso für Home Anwender und verursacht, zumindest bei mir und vielen anderen keinerlei Probleme.
cacatoa

Womit verdiene ich mir die Extra Begrüssung? :p ;)

@ HerrKautz:
weil ich mich eingemischt und an biott geschrieben habe, dachte ich mir, es wäre freundlich, Euer Gnaden auch zu grüßen. ;)
cacatoa

@ Shadowdance

Okay, ich habe alles wie beschrieben gemacht. Habe mein BS geupdatet und dann im abgesicherten Modus die Systemwiederherstellung deaktiviert und die angegebenen Einträge gefixt. Nur das, was zum Canon Pixma IP5000 gehört, habe ich erst mal gelassen.
Ein Eintrag erscheint wieder und lässt sich scheinbar nicht fixen:

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

Wie werde ich den los ?

Hier noch mal mein aktuelles Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 13:37:47, on 18.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\Clipinc\Server\ClipInc-Server.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Internettools\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Birthday.exe.lnk = C:\Programme\Birthday\Birthday.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104418148375
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDE324E6-924A-4E43-BF78-F05AD52CE9A8}: NameServer = 192.168.120.252,192.168.120.253


Kaspersky brachte folgendes Ergebnis:
Zu überprüfende Datei: fpdisp4.exe
fpdisp4.exe Ok

Statistiken:Bekannte Viren: 114907 Updated: 18-01-2005
Größe der Datei (Kb): 356 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0


Biott

He - diesmal bin ich nicht mehr "bescheiden" und frage mal nach, ob ihr mich vergessen habt...
Wie kriege ich diesen dämlichen Eintrag nun los, der sich nicht fixen lässt ???
Wie verfahre ich außerdem mit Ordnern, die sich selbst als "!Submit" erstellen, wenn ich gefixt habe ??? Kann ich die bedenkenlos löschen ?

Biott

@Biott

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll

Wie man sieht, gehört die Pfadangabe zum weitverbreiteten Adobe Acrobat Reader, der zum Lesen von PDF-Dateien nötig ist. Dieser BHO sieht also vertrauenswürdig aus und wenn man sich näher informiert, wird man erfahren, dass diese BHO nötig ist, um PDF-Dateien gleich im Internet Explorer lesen zu können.

das wird dein Problem nicht sein...

hier bekommst du übrigens das aktuelle hijackthis...

www.hjt.klaffke.de

lg


Tom59

Da nach dem Eintrag "no file" steht, heisst das eigentlich, dass dort eben eigentlich keine Datei vorhanden ist und es sich quasi um einen verwaisten Starteintrag handelt. Dekativiere mal die Systemwiederherstellung und fixe den Eintrag im abgesicherten Modus.

@MountainKing, genau das habe ich ja getan !
Abgesicherter Modus, Systemwiederherstellung deaktiviert, gefixt, Start im normalen Modus, Systemwiederherstellung wieder aktiviert und neu gebootet. Und dennoch ist der Eintrag da.
@Tom59, ja, der Eintrag gehört zum IE-Helper und ich fand ihn nicht vertrauenswürdig. Denn WinPatrol meldete mir damals diesen "neuen" IE-Helper, der vorher noch nicht da war ! Und seitdem hatte ich ja auch die Probleme.
Dank eurer Ratschläge bin ich jetzt auf den Firefox umgestiegen.

Ich möchte nur wissen, ob es wichtig ist, diesen Eintrag noch wegzukriegen. Ich habe mich dran gehalten, was mir @Shadowdance geraten hat.
Ansonsten gibt es vorerst keine Probleme mehr und ich hoffe, es bleibt so.

Biott

@ Biott

kannst Du bitte nochmal ein neues Hijack This Logfile posten? --> Thx.

Gut, @Shadowdance.
Hier also noch mal mein Logfile, es dürfte sich kaum was dran geändert haben seit dem 18.01., als ich es hier gepostet habe...

Logfile of HijackThis v1.98.2
Scan saved at 19:43:40, on 21.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\Clipinc\Server\ClipInc-Server.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internettools\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Birthday.exe.lnk = C:\Programme\Birthday\Birthday.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104418148375
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDE324E6-924A-4E43-BF78-F05AD52CE9A8}: NameServer = 192.168.120.252,192.168.120.253


Ich nehme an, dass du das Ergebnis der gewünschten Dateiprüfung "fpdisp4.exe" noch nicht gesehen hast - es war okay. Meines Wissens gehört die Datei zu "FinePrint".

Nun gib mal Laut, was ich mit "02-BHO. (no name)" machen soll.
Wie gesagt, gehört zu Acrobat-Reader IE-Helper, den ich aber plötzlich ganz neu hatte - zumindest hatte mir das WinPatrol so gemeldet. Und genau zu dieser Zeit fingen ja auch die Meldungen über TR/Drop/Small.NK an.
Ich habe alles so gemacht, wie du geraten hast. Habe auch im abgesicherten Modus gefixt und vorher die Systemwiederherstellung deaktiviert. Trotzdem taucht der Eintrag wieder auf.
Windows habe ich nun auch mit SP2 geupdatet.
Keine Virenmeldungen mehr, eScan ist ebenso okay, auch CWShredder findet nix mehr. System läuft top.

Biott

R3 - Default URLSearchHook is missing
O1 - Hosts: 212.33.69.3 js1.hitbox.com
O1 - Hosts: 212.33.69.3 stats.hitbox.com
O1 - Hosts: 212.33.69.3 pagead2.googlesyndication.com
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/...all/xscan53.cab

Hallo Biott,
hast du "Arkas Hide Folders" installiert, ein Proggi um Ordner unsichtbar zu machen? Wenn ja ist die "ahf.dll" eine notwendige Datei dafür.

Offenbar gibt es Leute, die es installiert und diese DLL an AntiVir gemeldet haben. Seit dem letzten Update wirde nämlich genau diese DLL vom AV Guard angemeckert und wenn du sie löscht läuft das nette Proggi nicht mehr :(