HH.HTT > Trojaner oder Spyware?

#1 Hallo zusammen:
Habe eine Mail bekommen: IT Dept mit dem Betreff: Your Yellow Pages listing Ref: Yellow/2002/www/144351. Nach steht bei WIN 2000 im Verzeichnis WINNT die Datei HH.HTT. Diese ist schreibgeschützt und versteckt. Dazu gehört die Datei HH.EXE. Bei Änderung der Attribute werden diese automatisch wieder zurückgesetzt. Löschen der hh.exe funktioniert ist aber innerhalb ein paar Sekunden wieder da. Löscht man die Einträge in der Regestrie sind diese wieder da. Rechner mit WIN98 Startdiskette gebootet und die entsprechenden Dateien gelöscht. Start von WIN 2000 mit dem gleichen Effekt wie vorher. Norton Internet Security sagt nichts zu dem allem. Was tut dieses Programm? Wie kann ich den killen? Wer kann helfen?

Hier meine hijackthis:
Logfile of HijackThis v1.97.7
Scan saved at 21:50:46, on 02.01.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\GEARSec.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINNT\system32\sstray.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\quicken.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Norton Internet Security\ATRACK.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINNT\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\eigene_Dateien\Download\HijackThis.exe


O1 - Hosts: 205.177.124.66 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [zBrowser Launcher] c:\PROGRA~1\logitech\iTouch.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINNT\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [quicken] C:\WINNT\quicken.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O19 - User stylesheet: C:\WINNT\hh.htt (HKLM)

Vielen Dank für eure Hilfe.
MfG

#2 Wenn sich die HH.exe im Windowsverzeichniss befindet ist es hoechstwarscheinlich eine System Datei. Schau dir mal die Eigenschaften der hh.exe an.

Die hh.htt ist wohl ein Hijacker (Coolwebsearch?). Versuche es mal mit CWSHREDDER: http://www.merijn.org/cwschronicles.html

Es waere nett, wenn du mir die hh.htt und, wenn es nicht die HTML Helper Datei ist, HH.exe schicken koenntest. Entweder andie Adresse in meinem Profil oder an virus@protecus.de.

BTW: Hast du alle updates von www.windowsupdate.com installiert?
__________
MfG Ralf
SEO-Spam Hunter

#3 Hi,
hab das selbe Problem gehabt. Bin draufgekommen, das zu dem Zeitpunkt in dem ich mir den hijacker eingefangen habe eine neue dll-Datei (C:\WINDOWS\system32\cpan.dll) angelegt wurde. Nachdem ich diese Datei umbenannt und neu gestartet habe, hat das mit dem automatisch neuanlegen dieser registry-Einträge bzw. des Files hh.htt aufgehört.

Nachher noch mal mit cwshredder alle Einträge aus der registry löschen. (die cpan.dll befindet sich auch irgendwo in der registry, wird aber von cwshreder nicht erkannt, also manuell danach suchen und dann löschen)

#4 Es waere nett, wenn du die Datei an virus@protecus.de schicken koenntest!
__________
MfG Ralf
SEO-Spam Hunter