Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ich habe wohl auch einen Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.06.2004, 11:48   #1
Jürgen S
 
Hallo erstmal,
endlich ein forum das mir helfen kann. Ich habe das selbe problem wie hier schon mehrfach geschildert, wahrscheinlich einen Trojaner.

Nach dem ich lange hier im Forum gelesen hatte und auch viele Ratschläge (escan, spybot) versucht habe und das alles nicht zum Erfolg führte, poste ich auch mal meine HijackThis-Logdatei und bitte doch um Hilfe (Lutz??)

Logfile of HijackThis v1.97.7
Scan saved at 12:23:05, on 20.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\winbf32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ICQ\NDetect.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\GMX Programme\cFos\cFosDNT.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\apiym.exe
C:\WINDOWS\System32\BRMFRSMG.EXE
C:\WINDOWS\system32\ntvdm.exe
D:\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uuydu.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://uuydu.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://uuydu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uuydu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://uuydu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\uuydu.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {C8AF5744-291F-65E5-70C2-E430C0AAF58E} - C:\WINDOWS\system32\windo32.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\GMX Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [apiym.exe] C:\WINDOWS\system32\apiym.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get...irector/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...147.3835069444
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get...sh/swflash.cab

Ich hoffe das uns jetzt jemand weiter helfen kann, welche gelöscht werden müssen bzw, was gemacht werden muß.

Habe aber noch ein weiteres Problem. Seitdem der Trojaner drauf ist verschwindet immer nach jedem neustart die shell.dll datei aus dem Windows/system32 ordner, wodurch einige Programme nicht mehr laufen.
Hängt das mit dem Trojaner zusammen oder ist das ein weiterer Fehler??

Gruß Jürgen

Alt 20.06.2004, 13:20   #2
mmk
 
Ich habe wohl auch einen Trojaner - Pfeil

Ich habe wohl auch einen Trojaner



Hallo!

</font><blockquote>Zitat:</font><hr />Original erstellt von Jürgen S:
Ich habe das selbe problem wie hier schon mehrfach geschildert, wahrscheinlich einen Trojaner.</font>[/QUOTE]Wahrscheinlich mehrere.

</font><blockquote>Zitat:</font><hr />Nach dem ich lange hier im Forum gelesen hatte und auch viele Ratschläge (escan, spybot) versucht habe und das alles nicht zum Erfolg führte, poste ich auch mal meine HijackThis-Logdatei und bitte doch um Hilfe (Lutz??)</font>[/QUOTE]Hm, offensichtlich werden von escan dann einige neuere Trojaner nicht erkannt.


C:\WINDOWS\winbf32.exe
C:\WINDOWS\system32\apiym.exe
C:\WINDOWS\System32\BRMFRSMG.EXE
C:\WINDOWS\system32\windo32.dll
C:\WINDOWS\system32\uuydu.dll

Diese fünf Dateien bitte hier prüfen:
http://www.kaspersky.com/de/scanforvirus

Ergebnisse hier posten.


In HijackThis markieren, dann Fix checked wählen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uuydu.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://uuydu.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://uuydu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uuydu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://uuydu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\uuydu.dll/sp.html#96676

O2 - BHO: (no name) - {C8AF5744-291F-65E5-70C2-E430C0AAF58E} - C:\WINDOWS\system32\windo32.dll
O4 - HKLM\..\Run: [apiym.exe] C:\WINDOWS\system32\apiym.exe


</font><blockquote>Zitat:</font><hr />Seitdem der Trojaner drauf ist verschwindet immer nach jedem neustart die shell.dll datei aus dem Windows/system32 ordner, wodurch einige Programme nicht mehr laufen.</font>[/QUOTE]Seltsam. Kann durchaus mit aktiver Schadsoftware zu tun haben.
__________________

__________________

Alt 20.06.2004, 13:34   #3
Lutz
 

Ich habe wohl auch einen Trojaner - Beitrag

Ich habe wohl auch einen Trojaner



</font><blockquote>Zitat:</font><hr />Hm, offensichtlich werden von escan dann einige neuere Trojaner nicht erkannt. </font>[/QUOTE]Die Gefahr besteht natürlich grundsätzlich immer.
Allerdings, wenn man eScan wie hier beschrieben aktualisiert, hat man den gleichen Definitionsstand, wie beim 'richtigen' Scanner von Kaspersky.
Beide zeigen mir im Moment 94.301 bekannte Viren an, wenn man die ext-Definitionen herunterlädt.
__________________
__________________

Alt 20.06.2004, 14:16   #4
Jürgen S
 
Ich habe wohl auch einen Trojaner - Beitrag

Ich habe wohl auch einen Trojaner



danke für eure hilfe.

hab den kaspersky scan gemacht, hier meine ergebnisse:

winbf32.exe - packed with UPX
winbf32.exe Infiziert: TrojanDownloader.Win32.Agent.an

apiym.exe - packed with UPX
apiym.exe Infiziert: TrojanDownloader.Win32.Agent.z

BrmfRsmg.exe
BrmfRsmg.exe Ok

windo32.dll - packed with UPX
windo32.dll Infiziert: TrojanDownloader.Win32.Agent.an

Zu überprüfende Datei: uuydu.dll
uuydu.dll/data0001.html Infiziert: TrojanDownloader.Win32.Winshow.u uuydu.dll/data0002.html Infiziert: TrojanDownloader.Win32.Winshow.u uuydu.dll/data0003.html Infiziert: TrojanDownloader.Win32.Winshow.u uuydu.dll/data0004.html Infiziert: TrojanDownloader.Win32.Winshow.u uuydu.dll/data0005.html Infiziert: TrojanDownloader.Win32.WinShow.u uuydu.dll/data0006.html Infiziert: TrojanDownloader.Win32.Winshow.u

und was muss ich jetzt machen??

Gruß Jürgen

Alt 20.06.2004, 14:22   #5
mmk
 
Ich habe wohl auch einen Trojaner - Beitrag

Ich habe wohl auch einen Trojaner



</font><blockquote>Zitat:</font><hr />Original erstellt von Jürgen S:
und was muss ich jetzt machen??</font>[/QUOTE]1.) Den Internet Explorer und alle Windows Explorer Fenster schließen.
2.) In HijackThis die in meinem ersten Posting genannten Einträge markieren, dann "Fix checked" wählen.
3.) Systemwiederherstellung deaktivieren. http://www.systemwiederherstellung-d...indows-xp.html
4.) Windows im abgesicherten Modus (dazu Taste F8 nach dem Einschalten des PC's gedrückt halten und anschl. Start im abgesicherten Modus auswählen) starten.
5.) Dort alle als infiziert gemeldeten Dateien löschen!
6.) Neustart im normalen Modus.
7.) Prüfen mit HijackThis, ob alles entfernt wurde.
8.) Browserwechsel. Mit dem IE wirst du immer wieder mit solchen Trojanern "beglückt" werden. Tipp: Mozilla Firefox: http://mozilla-europe.org/de/

__________________
Grüße, Markus

Alt 20.06.2004, 16:48   #6
Jürgen S
 
Ich habe wohl auch einen Trojaner - Beitrag

Ich habe wohl auch einen Trojaner



Hallo Markus,
schönen Dank für deine Hilfe. Wenn es ging würde ich jetzt mit dir [img]graemlins/party.gif[/img]
Hat mir weitergeholfen. Endlich nach unzähligen Stunden.Ich glaube der Trojaner bzw. Hijacker kam wirklich durch den IE.

Zur Begründung:
jedesmal, wenn ich alles sogemacht habe, wie du es oben beschrieben hast und ich dann den IE aufgemacht habe, hatte ich einen neuen Hijacker bzw. eine neue res:... Startseite im IE.
Nach zwei oder drei Versuchen und zig grauen Haaren habe ich dann den Mozilla Browser installiert und dann wieder deine Schritte ausgeführt und siehe da......der HiJackThis-Scan ist sauber.

Das Problem mit der shell.dll Datei, wie ganz oben beschrieben ist auch behoben.

Außerdem habe ich auch noch festgestellt, das ich vorher auch noch ein Problem mit dem Drucker bzw. Treiber hatte, welches jetzt auch weg ist.

Du kannst mir glauben, das ich tierisch froh bin, das der PC wieder funzt.
Also nochmal schönen Dank für deine Hilfe. [img]graemlins/huepp.gif[/img]

Gruß Jürgen

Antwort

Themen zu Ich habe wohl auch einen Trojaner
adobe, bho, download, escan, explorer, fehler, fehler?, gelöscht, hijack, hilfe, icq, internet, internet explorer, microsoft, neustart, nicht, object, ordner, problem, programme, rundll, shockwave, software, system, system32, update, windows, windows xp



Ähnliche Themen: Ich habe wohl auch einen Trojaner


  1. Ojee ich habe einen Trojaner - alles ist blau unterstrichen - auch hier und werbung etc. poppt auf...
    Plagegeister aller Art und deren Bekämpfung - 11.02.2015 (12)
  2. Ich habe wohl einen Browserentführer, werde auf Searchengine umgeleitet und es spielt Musik
    Plagegeister aller Art und deren Bekämpfung - 01.10.2014 (17)
  3. Qvo6: Ich hab mir wohl einen Trojaner gefangen
    Plagegeister aller Art und deren Bekämpfung - 21.07.2013 (11)
  4. pxMdWicSEXclEk-exe Hab mir wohl einen Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 22.11.2012 (16)
  5. Zugriff auf Filezilla ... wohl über einen Trojaner
    Log-Analyse und Auswertung - 11.09.2012 (11)
  6. Auch ich habe einen Verschluesselungs Trojaner
    Log-Analyse und Auswertung - 06.06.2012 (2)
  7. Hallo. Ich habe wohl einen Virus/ Trojaner auf meinem Windows Laptop. Es erscheint direkt nach dem
    Log-Analyse und Auswertung - 05.06.2012 (1)
  8. Auch ich habe mein PC mit einen Windows-Verschlüsselungs Trojaner infiziert =(
    Plagegeister aller Art und deren Bekämpfung - 30.04.2012 (3)
  9. habe auch einen 50€Ucash trojaner eigefangen
    Plagegeister aller Art und deren Bekämpfung - 29.04.2012 (1)
  10. Seit gestern habe ich wohl einen Virus (!)
    Plagegeister aller Art und deren Bekämpfung - 12.08.2011 (3)
  11. Habe mir auch einen sshnas.dll - Virus eingefangen
    Log-Analyse und Auswertung - 23.09.2010 (2)
  12. Auch ich habe so einen TAN Schädling
    Plagegeister aller Art und deren Bekämpfung - 11.09.2010 (11)
  13. Habe wohl einen Virus, ich brauche dringend Hilfe...
    Plagegeister aller Art und deren Bekämpfung - 19.01.2010 (10)
  14. Habe auch einen TR/Tropper.Gen bitte um Hilfe!!!!
    Plagegeister aller Art und deren Bekämpfung - 20.09.2008 (4)
  15. Auch ich habe wohl den Trojan.Stwoyle gefangen
    Log-Analyse und Auswertung - 05.10.2005 (3)
  16. Habe auch einen Trojaner
    Log-Analyse und Auswertung - 06.01.2005 (9)
  17. Hife habe mir wohl einen trojaner eingefangen
    Log-Analyse und Auswertung - 17.10.2004 (5)

Zum Thema Ich habe wohl auch einen Trojaner - Hallo erstmal, endlich ein forum das mir helfen kann. Ich habe das selbe problem wie hier schon mehrfach geschildert, wahrscheinlich einen Trojaner. Nach dem ich lange hier im Forum gelesen - Ich habe wohl auch einen Trojaner...
Archiv
Du betrachtest: Ich habe wohl auch einen Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.