Hallo erstmal,
endlich ein forum das mir helfen kann. Ich habe das selbe problem wie hier schon mehrfach geschildert, wahrscheinlich einen Trojaner.

Nach dem ich lange hier im Forum gelesen hatte und auch viele Ratschläge (escan, spybot) versucht habe und das alles nicht zum Erfolg führte, poste ich auch mal meine HijackThis-Logdatei und bitte doch um Hilfe (Lutz??)

Logfile of HijackThis v1.97.7
Scan saved at 12:23:05, on 20.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\winbf32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ICQ\NDetect.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\GMX Programme\cFos\cFosDNT.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\apiym.exe
C:\WINDOWS\System32\BRMFRSMG.EXE
C:\WINDOWS\system32\ntvdm.exe
D:\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uuydu.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://uuydu.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://uuydu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uuydu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://uuydu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\uuydu.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {C8AF5744-291F-65E5-70C2-E430C0AAF58E} - C:\WINDOWS\system32\windo32.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\GMX Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [apiym.exe] C:\WINDOWS\system32\apiym.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get...irector/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...147.3835069444
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get...sh/swflash.cab

Ich hoffe das uns jetzt jemand weiter helfen kann, welche gelöscht werden müssen bzw, was gemacht werden muß.

Habe aber noch ein weiteres Problem. Seitdem der Trojaner drauf ist verschwindet immer nach jedem neustart die shell.dll datei aus dem Windows/system32 ordner, wodurch einige Programme nicht mehr laufen.
Hängt das mit dem Trojaner zusammen oder ist das ein weiterer Fehler??

Gruß Jürgen

Hallo!

</font><blockquote>Zitat:</font><hr />Original erstellt von Jürgen S:
Ich habe das selbe problem wie hier schon mehrfach geschildert, wahrscheinlich einen Trojaner.</font>[/QUOTE]Wahrscheinlich mehrere.

</font><blockquote>Zitat:</font><hr />Nach dem ich lange hier im Forum gelesen hatte und auch viele Ratschläge (escan, spybot) versucht habe und das alles nicht zum Erfolg führte, poste ich auch mal meine HijackThis-Logdatei und bitte doch um Hilfe (Lutz??)</font>[/QUOTE]Hm, offensichtlich werden von escan dann einige neuere Trojaner nicht erkannt.


C:\WINDOWS\winbf32.exe
C:\WINDOWS\system32\apiym.exe
C:\WINDOWS\System32\BRMFRSMG.EXE
C:\WINDOWS\system32\windo32.dll
C:\WINDOWS\system32\uuydu.dll

Diese fünf Dateien bitte hier prüfen:
http://www.kaspersky.com/de/scanforvirus

Ergebnisse hier posten.


In HijackThis markieren, dann Fix checked wählen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uuydu.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://uuydu.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://uuydu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uuydu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://uuydu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\uuydu.dll/sp.html#96676

O2 - BHO: (no name) - {C8AF5744-291F-65E5-70C2-E430C0AAF58E} - C:\WINDOWS\system32\windo32.dll
O4 - HKLM\..\Run: [apiym.exe] C:\WINDOWS\system32\apiym.exe


</font><blockquote>Zitat:</font><hr />Seitdem der Trojaner drauf ist verschwindet immer nach jedem neustart die shell.dll datei aus dem Windows/system32 ordner, wodurch einige Programme nicht mehr laufen.</font>[/QUOTE]Seltsam. Kann durchaus mit aktiver Schadsoftware zu tun haben.

</font><blockquote>Zitat:</font><hr />Hm, offensichtlich werden von escan dann einige neuere Trojaner nicht erkannt. </font>[/QUOTE]Die Gefahr besteht natürlich grundsätzlich immer.
Allerdings, wenn man eScan wie hier beschrieben aktualisiert, hat man den gleichen Definitionsstand, wie beim 'richtigen' Scanner von Kaspersky.
Beide zeigen mir im Moment 94.301 bekannte Viren an, wenn man die ext-Definitionen herunterlädt.

danke für eure hilfe.

hab den kaspersky scan gemacht, hier meine ergebnisse:

winbf32.exe - packed with UPX
winbf32.exe Infiziert: TrojanDownloader.Win32.Agent.an

apiym.exe - packed with UPX
apiym.exe Infiziert: TrojanDownloader.Win32.Agent.z

BrmfRsmg.exe
BrmfRsmg.exe Ok

windo32.dll - packed with UPX
windo32.dll Infiziert: TrojanDownloader.Win32.Agent.an

Zu überprüfende Datei: uuydu.dll
uuydu.dll/data0001.html Infiziert: TrojanDownloader.Win32.Winshow.u uuydu.dll/data0002.html Infiziert: TrojanDownloader.Win32.Winshow.u uuydu.dll/data0003.html Infiziert: TrojanDownloader.Win32.Winshow.u uuydu.dll/data0004.html Infiziert: TrojanDownloader.Win32.Winshow.u uuydu.dll/data0005.html Infiziert: TrojanDownloader.Win32.WinShow.u uuydu.dll/data0006.html Infiziert: TrojanDownloader.Win32.Winshow.u

und was muss ich jetzt machen??

Gruß Jürgen

</font><blockquote>Zitat:</font><hr />Original erstellt von Jürgen S:
und was muss ich jetzt machen??</font>[/QUOTE]1.) Den Internet Explorer und alle Windows Explorer Fenster schließen.
2.) In HijackThis die in meinem ersten Posting genannten Einträge markieren, dann "Fix checked" wählen.
3.) Systemwiederherstellung deaktivieren. http://www.systemwiederherstellung-d...indows-xp.html
4.) Windows im abgesicherten Modus (dazu Taste F8 nach dem Einschalten des PC's gedrückt halten und anschl. Start im abgesicherten Modus auswählen) starten.
5.) Dort alle als infiziert gemeldeten Dateien löschen!
6.) Neustart im normalen Modus.
7.) Prüfen mit HijackThis, ob alles entfernt wurde.
8.) Browserwechsel. Mit dem IE wirst du immer wieder mit solchen Trojanern "beglückt" werden. Tipp: Mozilla Firefox: http://mozilla-europe.org/de/

Hallo Markus,
schönen Dank für deine Hilfe. Wenn es ging würde ich jetzt mit dir [img]graemlins/party.gif[/img]
Hat mir weitergeholfen. Endlich nach unzähligen Stunden.Ich glaube der Trojaner bzw. Hijacker kam wirklich durch den IE.

Zur Begründung:
jedesmal, wenn ich alles sogemacht habe, wie du es oben beschrieben hast und ich dann den IE aufgemacht habe, hatte ich einen neuen Hijacker bzw. eine neue res:... Startseite im IE.
Nach zwei oder drei Versuchen und zig grauen Haaren habe ich dann den Mozilla Browser installiert und dann wieder deine Schritte ausgeführt und siehe da......der HiJackThis-Scan ist sauber.

Das Problem mit der shell.dll Datei, wie ganz oben beschrieben ist auch behoben.

Außerdem habe ich auch noch festgestellt, das ich vorher auch noch ein Problem mit dem Drucker bzw. Treiber hatte, welches jetzt auch weg ist.

Du kannst mir glauben, das ich tierisch froh bin, das der PC wieder funzt.
Also nochmal schönen Dank für deine Hilfe. [img]graemlins/huepp.gif[/img]

Gruß Jürgen