Immer wenn ich meinen PC hochfahre öffnet sich der Internet Explorer aber statt der normalen Startseite kommt die About:Blank Seite. Beim manuellen öffnen des Internet Explores kommt es zum gleichen Problem. Der Virenscanner hat nichts gefunden auch das Programm SpSeHjfix 112 half nicht weiter .Der Internet Explorer lässt sich nicht mehr deinstallieren und Firefox übernimmt nach der Installation die Einstellungen des Internet Explorer (d.h. gleiches Problem wie beim Internet Explorer). Da ich jetzt schon alles mögliche probiert habe und nichts weitergeholfen hat, hoffe ich das ihr mir helfen könnt. Durch Hijack this erhalt ich folgende Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:02:35, on 20.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe
C:\WINNT\system32\internat.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINNT\msagent\AgentSvr.exe
H:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ayoym.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ayoym.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\ayoym.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ayoym.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ayoym.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\ayoym.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\ayoym.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/us/*h**p://www.yahoo.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {B36FC88D-1965-88ED-705A-F4D83DA419AF} - C:\WINNT\system32\sdkpp32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .psd: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.1und1.de/Herzlich_Willkommen/b1/
O15 - Trusted Zone: *.moove.com
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - h**p://install.global-netcom.de/ieloader.cab
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - h**p://www.eingang69.de/EroticAccess/Cabs/1844009.cab
O16 - DPF: {38135E75-34A9-49EC-B83D-9F9A31877CA0} (DLITools.Uploader) - h**p://it3.xpresslab.de/DLIUploaderV2.CAB
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - h**p://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - h**p://www.installengine.com/engine/isetup.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - h**p://193.159.183.138/install/StarInstall.ocx
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - h**p://install.serviceurl.de/InstallationsAssistent.ocx
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Schon mal tausend Dank im Voraus Quintus

_____________
Anm.
Aktive Links editiert!
Beachte die Hinweise dieser Anleitung: HiJackThis

LG Cidre
S-Mod TB

@Quintus
scanne dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492

chaosman

Ergebnisse mit Escan:

Sat May 21 13:17:42 2005 => File C:\WINNT\system32\sdkpp32.dll infected by "Trojan-Dropper.Win32.Small.tn" Virus! Action Taken: No Action Taken.
Sat May 21 13:17:48 2005 => File C:\WINNT\system32\sdkpp32.dll infected by "Trojan-Dropper.Win32.Small.tn" Virus! Action Taken: No Action Taken.
Sat May 21 13:18:06 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sat May 21 13:20:56 2005 => File C:\WINNT\system32\sdkpp32.dll infected by "Trojan-Dropper.Win32.Small.tn" Virus! Action Taken: No Action Taken.
Sat May 21 13:21:01 2005 => File C:\WINNT\system32\sdkpp32.dll infected by "Trojan-Dropper.Win32.Small.tn" Virus! Action Taken: No Action Taken.
Sat May 21 13:21:11 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sat May 21 13:24:11 2005 => File C:\WINNT\winpj.dll infected by "Trojan-Dropper.Win32.Small.tn" Virus! Action Taken: No Action Taken.
Sat May 21 13:24:15 2005 => File C:\WINNT\system32\appsu.dll infected by "Trojan-Dropper.Win32.Small.tn" Virus! Action Taken: No Action Taken.
Sat May 21 13:24:53 2005 => File C:\WINNT\system32\ieqt.dll infected by "Trojan-Dropper.Win32.Small.tn" Virus! Action Taken: No Action Taken.
Sat May 21 13:26:37 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\27.tmp infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken.
Sat May 21 13:26:37 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\29.tmp infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken.
Sat May 21 13:26:38 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\4.tmp infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken.
Sat May 21 13:26:38 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\6.tmp infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken.

ICh hab jetzt noch meinen E-Scan log hinzugefügt

Zitat:

Zitat von haui45

Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei C:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.

So können wir zusätzlich erkennen, ob Escan richtig ausgeführt wurde.

...da hab ich einfach mal meinen Trojaner, also den speziell persönlichen Trojaner, der sich bei mir vor wenigen Stunden eingenistet hat ... ...in Google eingegeben, et voilà... es gibt tatsächlich leidensgenossen . Deswegen bin ich hier. Mein Trojaner heißt Trojan-Downloader.Win32.WinShow.ay. Er wurde von Kaspersky geortet und identifiziert. Nun meine allerdringlichste Frage: mein Trojaner macht sich für mich, für den HJT bis gerade eben unbekannt war (also wohl doch eher Laie in sachen Trojaner), NUR dann offenkundig bemerkbar, wenn ich den IE starte: sobald die Verbindung ins Netz steht und die Startseite (google) angezeigt werden soll, meldet Kaspersky meinen Trojaner im "Temp"-Verzeichnis auf der Systempartition. Aber auch mehrmaliges löschen bringt nichts, da das Teil (mein Trojaner) kaltstartresistent ist . Meine Konsequenz: hab direkt mal Firefox geladen und surfe jetzt nur noch damit.
Jetzt meine Frage: Ist Firefox sicher (z.B. für Internet-Shopping), auch wenn mein IE-hungriger Trojaner noch nicht getötet wurde??

nachdem das hier die ecke für HJT ist... will ich der ordnung halber mal mein HJT-Log posten... vielleicht könnt Ihr ja daran erkennen, wie man meinen Trojaner
Trojan-Downloader.Win32.WinShow.ay töten kann. Ich bete schon dafür dass das doch irgendwie möglich ist, ohne gleich ne ganze woche dafür aufzuwenden.

Logfile of HijackThis v1.99.1
Scan saved at 14:12:13, on 01.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
D:\WINDOWS\system32\rundll32.exe
E:\Programme\Omni Page SE Scanner\OpwareSE2.exe
D:\Programme\HP\hpcoretech\hpcmpmgr.exe
D:\Programme\QuickTime\qttask.exe
E:\Programme\iTunes v4.8 Data\iTunesHelper.exe
D:\WINDOWS\system32\ctfmon.exe
E:\Programme\Sitecom Bluetooth CD\BTTray.exe
E:\PROGRA~1\SITECO~1\BTSTAC~1.EXE
E:\Programme\Sitecom Bluetooth CD\bin\btwdins.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\hh.exe
E:\Programme\Firefox Inst\firefox.exe
E:\Programme\IrfanView Inst\i_view32.exe
E:\PROGRA~1\WINZIP~2\wzqkpick.exe
E:\Programme\HijackThis AntiTrojan Data\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title

= Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper -

{AA58ED58-01DD-4d91-8333-CF10577473F7} -

d:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {daa873d4-958c-453c-81ca-3fe6f3676a87} -

D:\WINDOWS\system32: piaa.dll [ohne leerzeichen; der Verfasser]
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -

d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KAVPersonal50] E:\Programme\Kaspersky

Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched]

D:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe

bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [OpwareSE2] "E:\Programme\Omni Page SE

Scanner\OpwareSE2.exe"
O4 - HKLM\..\Run: [HP Component Manager]

"D:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task]

"D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes v4.8

Data\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk =

D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk =

D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip

Dat\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search -

res://d:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links -

res://d:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page -

res://d:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Senden an &Bluetooth -

E:\Programme\Sitecom Bluetooth CD\btsendto_ie_ctx.htm
O8 - Extra context menu item: Similar Pages -

res://d:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English -

res://d:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

D:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

D:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ Pro -

{6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ -

{6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: @btrez.dll,-4015 -

{CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\Sitecom

Bluetooth CD\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 -

{CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\Sitecom

Bluetooth CD\btsendto_ie.htm
O9 - Extra button: Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D

ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O17 -

HKLM\System\CCS\Services\Tcpip\..\{E99416FF-D78F-42DF-879C-DA01F

599FAE5}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA}

- D:\WINDOWS\system32\btxppanel.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom

Corporation - E:\Programme\Sitecom Bluetooth CD\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM

Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc.

- D:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - E:\Programme\Kaspersky

Anti-Virus Personal\kavsvc.exe
O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation -

D:\WINDOWS\system32\nvsvc32.exe

vielen dank schonmal... ich finde das hier ein echt gutes forum