Trojaner: werde ihn einfach nicht los. Hilfe !!!

Habe mir nen fetten Trojaner eingefangen denke ich. Habe merkwürdige Abstürze in letzter Zeit und der Internet Explorer ändert immer die Startseite in so eine blöde search seite. Habe schon alle tools probiert er ist immer wieder da. Poste hier mal meine hijackthis log und hoffe das mir jemand helfen kann. Info: Die R0 und R1 (alle) und die O2 Files hatte ich schon gefixt und danach coolwebschredder laufen lassen.War alles ok, hatte dann nur noch ein R0 File drin mit meiner Startpage. Aber nach einem Windows XP neustart war die log genauso wie vorher (siehe unten)

Logfile of HijackThis v1.97.7
Scan saved at 21:42:19, on 02.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\rsvp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\devldr32.exe
C:\Dokumente und Einstellungen\Krausetti\Desktop\Tools\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kbhbiaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kbhbiaa.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kbhbiaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kbhbiaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kbhbiaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kbhbiaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy 1.1\SDHelper.dll
O2 - BHO: (no name) - {94CFF9F3-20C5-455D-BAE2-51626F9511CC} - C:\WINDOWS\System32\kbhbiaa.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra->Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra->Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ich hoffe mir kann jemand helfen Danke im vorraus

[blue]Verschoben aus Sonstiges rund ums Internet[/blue]

Hast du die dll nach dem fixen denn auch gelöscht?

Außerdem solltest du deinen Patchstand mal verbessern und sämtliche Sicherheitsupdates installieren

Hi krausetti,

Hijackthis ist kein Alleskönner, wie andere auch nicht, daher findet er nicht alles , du solltest schon mehrere Spyware-Scanner benutzen - z.B. Ad-aware personal SE, Spyboot .....
Doch bevor du mit diesen Tools deine FP ab scannst, deinstalliere im Ordner Software alles was dort nicht reingehört.
Dein AVK 2004 zeigt dir in der Anzeige ( Option: Zugriff verweigert )beim Scannen auf welche Dateien er nicht zugreifen konnte, schaue dir diese genau an, sollten dll- und exe -Dateien darunter sein, kannst du davon ausgehen, daß es sich um unerwünschte Dateien handelt. Im Zweifelsfall kannst du diese mit dem Protokoll eines sauberen Systems vergleichen.
Lösche diese manuell.
Sollte dein System bereits massiv manipuliert worden sein,- Änderung der Systemeinstellungen - macht sich z.B. durch scheitern einer Install. von Antivirensoftware bemerkbar - bleibt nicht weiter übrig, als - Format C: - sprich Alles löschen und komplett neu aufspielen.

mfG Noillusion

hijackthis ist auch kein scanner im sinne enes viren/trojanerjägers, hijackthis zeigt dir nur einen ausschnitt aus der registry und kann gewisse einträge aus der registry löschen, mehr nicht ... für das sp.html problem gibt´s hier http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html weitere infos mit einem progrämmchen, daß diese fixen kann. die kbhbiaa.dll und die anderen infizierten dll ´s mußt du manuell löschen, vor allem auch im verzeichnis %windir%\system32 und %windir%\system32 \dllcache und du mußt die wiederherstellungsfunktion mal deaktivieren, die dll dateien sind mit sicherheit in den wiederherstellungsbackupdateien drin. dann unbedingt dein system updaten ... und die kiste mal richtig scannen: online scanner gibt es hier www.antivirus-online.de

greetz

hugo