sphjfix geht nicht Einstellungen

[Tyler]

Hallo, habe folgendes Problem:

Habe mir so wie`s aussieht einen Browser Hijacker eingefangen, Eure Erste-Hilfe-Maßnahmen durchgeführt und die Datei SpHjfix.exe downgeloadet.
Wenn ich dort jedoch auf "Desinfektion starten" klicke, erscheint in der oberen Zeile "Nicht infiziert"

Die Log-Datei:

21.05.2004 17:09:30 SPhjFix started v1.07
21.05.2004 17:09:30 Stealth-String not found -> Programm terminated
21.05.2004 17:15:34 SPhjFix started v1.07
21.05.2004 17:15:34 Stealth-String not found -> Programm terminated


Nachdem ich Spybot und Ad-aware laufen hab lassen gibt mir Hijackthis folgende Log-Datei:

Logfile of HijackThis v1.97.7
Scan saved at 17:19:08, on 21.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\appz\Video\Quicktime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Dialer Control\dc.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Appz\I-net\GetRight\getright.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\WINDOWS\sllights.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Appz\System\WinRAR\WinRAR.exe
C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C7D6C071-33BC-44B4-9B74-A2E24D949559} - C:\WINDOWS\System32\lbbpo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\appz\Video\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Appz\I-net\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Appz\I-net\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Appz\I-net\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {4CA6CE4C-2199-4A4F-9542-12E0163D6841} (Dialer Class) - http://66.230.151.114/d/CABDialer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B1E4AC5-9A3E-4371-871E-95CFED2F584D}: NameServer = 192.168.0.111,0.0.0.0
O17 - HKLM\System\CCS\Services\Tcpip\..\{C77DE0B1-A2ED-423E-9EC2-4AC982BE243D}: NameServer = 195.182.110.132 62.134.11.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{3B1E4AC5-9A3E-4371-871E-95CFED2F584D}: NameServer = 192.168.0.111,0.0.0.0

Was kann ich jetzt tun?
Danke im Voraus!

[Gast_JohnnyTheGod_*]

Hilfe, hilfe, hilfe:

Nachdem ich mich monatelang mit der "Search..." Startseite herumärgern musste und ich jedesmal zuverlässig die DLL per Erstellungsdatum fand und umbenennen konnte (aber bekanntlich das Teil am nächsten Tag wieder da ist), habe ich es mit Eurem Tool probiert. Hat aber nicht ganz geklappt ("Fehler beim Löschen..."). Nun habe ich die manuelle Anleitung in diesem Thread probiert und einen gar schrecklichen Fehler gemacht:

Ich wollte HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows in "Windowsneu" umbenennen. Da darauf eine Fehlermeldung kam (keine Berechtigung) dachte ich, "Windows NT" ist die umzubenennende Stelle. Seitdem bekomme ich statt des WinXP-Prof. Anmeldebildschirm einen schwarzen Schirm und der PC macht gar nichts mehr. Kein Abgesichert, nichts geht mehr. Neuinstallation kommt eigentlich nicht in Frage, da ich dank Win-Verschlüsselung nicht mehr an meine Dateien komme (!!!argh!!!) ohne laufendes Windows. UND: Dank des Tipps habe ich ja auch die Systemwiederherstellung zuvor deaktiviert, die einem jetzt normalerweise gute Diesnte leisten würde... Und Wiederherstellungskonsole nützt mir ohne Regedit nichts. Selbst mit Knoppix (Linux) habe ich es schon geschafft, nach Booten von CD, auf NTFS schreibend (!!) zuzugreifen und c:\windows\system32\software per hexedit zu editieren (ist das überhaupt der entscheidende Teil der Registrierung oder nur eine Kopie oder so?), d. h. ich kann hier "WindowsjtNTneu" wieder in "Windows NT" umbenennen, hilft aber nichts, weil ich z. B. nicht weiß, ob (HexEdit!!) ich einfach Stellen löschen kann (Prüfsummen...?) oder durch Leerzeichen oder durch x00 ersetzen darf....

Komme hier nicht weiter, das Problem ist wegen der perspönlichen Dateien (Windows Verschlüsselung knacken: nicht dass ich wüsste.) Hat jemand Vorschläge?

Mit einer Schrotflinte den "Search..." Programmierer aufzusuchen, ja, darauf bin ich auch schon gekommen... :-)