Trojaner-Board - SHELL.DLL verschwunden

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - SHELL.DLL verschwunden (https://www.trojaner-board.de/7759-shell-dll-verschwunden.html)

SHELL.DLL verschwunden

Guten Tag zusammen,

ich benötige Hilfe und wäre dankbar, wenn sich zu meinem Problem jemand melden würde:

Auf meinem PC zu Hause (Windows 2000 Pro, SP2) hatte ich mir einen Hijacker eingefangen, den ich mit Hilfe von trojaner-info erfolgreich beseitigen konnte. Jetzt erhalte ich beim Start des IE6 wieder eine leere Staartseite. Alles sehr erfreulich, und mir fiel ein entsprechender Stein vom Herzen.

Zeitgleich mit dem Erscheinen des Hijackers ließ sich T-Online nicht mehr öffnen. Ich erhalte beim Start fünfmal den Hinweis, dass eine SHELL.DLL nicht gefunden wurde. Danach erfolgt unter der Überschrift "16-Bit-Windows-Programm kann nicht ausgeführt werden" folgender Text:

Datei "C:\T-Online\BSW3\ONLINE.EXE" (oder Komponente) nicht gefunden. Überprüfen Sie, ob der Pfad- und Dateiname korrekt sind und ob alle erforderlichen Bibliotheksdateien zur Verfügung stehen.

Die Online.Exe-Datei existiert. Daher vermute ich, dass auch diese Meldung sich auf die fehlende SHELL.DLL bezieht. Kennt jemand dieses Problem und kann mir sagen, was ich zur Problembehebung tun kann/muss?

Herzlichen Dank im voraus
Gerd

Poste mal bitte ein Log dieses Programms:

http://www.trojaner-board.de/51130-a...ijackthis.html

Suche nach dieser dll auf deiner HD, es sollten evtl. mehrere vorhanden sein, die, die genutzt wird im windows\system32 order (dort wird deine fehlen) und dann noch backup-versionen.

Danke für Deine Nachricht! Ich habe keinen Ordner "windows\system32". Dafür jedoch "WINNT\system32". Meinst Du den? Dort gibt es allerdings eine shell.dll. Das Problem meines Rechners scheint mir damit ein größeres zu sein.

Kommt denn in der Meldung ein Hinweis darauf, wo genau diese dll fehlt, also in welchem Ordner? Evtl. in Winnt\system? Du kannst mal mit sfc versuchen, die Datei wiederherzustellen:

http://www.tech-recipes.com/windows_tips602.html

Nein, leider steht in der Meldung nicht, wo die DLL fehlt. Nicht gerade typisch für Windows ist das Meldefenster klein, hat nur Briefmarkengröße. Überschrift: File Error. Text: Cannot find SHELL.DLL. Das Fenster zum Schließen der Meldung ist dann wieder in deutsch mit "Schließen".

Mach mal bitte das Log von HJT und sieh mal, ob du mit sfc was reparieren kannst,d er sollte fehlende Systemdateien eigentlich finden und wiederherstellen.

Wie Du sicher schon festgestellt hast, bin ich kein PC-Profi. Das Log kann ich nicht einstellen, weil ich mit dem besagten Problem-PC nicht ins Internet komme. Genau dann, und nur dann, bei dem Versuch, ins Internet zu gehen, wird auf die fehlende SHELL.DLL hingewiesen. Mal sehen, ob ich das Log über Umwege auf einen anderen PC bekomme. Dann werde ich es gern posten.

Du schreibst, ich solle es mal mit sfc versuchen. Ich wage es ja kaum, zu fragen. Aber was ist sfc???

Dann solltest du das programm am besten auf dem PC, den du jetzt hier nutzt herunterladen und dann per Diskette/CD/USB-Stick auf den anderen schaffen, und dann die dort erstellte Logdatei wieder auf dem gleichen Weg zurück.

Ich hatte oben schon einen Link gepostet, der SFC erklärt, war halt in Englisch, aber hier steht auch noch mal was:

http://www.pqtuning.de/win2000/tools2.htm#sfc

Es ist wie gesagt, ein kleines Programm, dass die Windows-Systemdateien überprüft und bei Fehlern von der XP-CD wiederherstellen kann.

Probiere vorher einfach mal, die im Ordner System32 vorhandene dll zu kopieren und diese Kopie dann im /system (also ohne 32) zu abzulegen.

Ich komme mit dem Problemrechner wieder ins Internet! Die Shell.dll fehlte in system32. Habe mir jetzt, wie Du mir geraten hast, HJT heruntergeladen. Nachstehend das Log:

Logfile of HijackThis v1.98.2
Scan saved at 09:35:32, on 23.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\WINNT\system32\mfcyj.exe
C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\WINNT\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Eicon\Diva\Divamon.exe
C:\Programme\F-Secure Anti-Virus\backweb\4476822\Program\BackWeb-4476822.exe
C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE
C:\WINNT\system32\lpxefg.exe
C:\WINNT\system32\iebc32.exe
C:\WINNT\system32\internat.exe
C:\WINNT\System32\cidaemon.exe
C:\WINNT\system32\ntvdm.exe
C:\PROGRA~1\Eicon\Diva\DITASK.EXE
C:\PROGRA~1\Eicon\Diva\watch.exe
C:\PROGRA~1\Eicon\Diva\CGServer.exe
C:\PROGRA~1\Eicon\Diva\diinfo.exe
C:\T-ONLINE\BSW3\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\eznab.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\eznab.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\eznab.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\eznab.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\eznab.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\eznab.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\eznab.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: (no name) - {41B7661D-BFFA-D3F3-4CC5-B90AF46A2FA8} - C:\WINNT\system32\javahy32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DiTask.exe] "C:\Programme\Eicon\Diva\DiTask.exe"
O4 - HKLM\..\Run: [Divamon.exe] "C:\Programme\Eicon\Diva\Divamon.exe"
O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] "C:\Programme\Eicon\Diva\watch.exe"
O4 - HKLM\..\Run: [CGServer] "C:\Programme\Eicon\Diva\cgserver.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Internet Explorer Updater] C:\WINNT\system32\lexbac.exe
O4 - HKLM\..\Run: [Hm4] C:\WINNT\system32\hm4.exe
O4 - HKLM\..\Run: [jfxz] abmnus.exe autorun
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [syykjl] C:\WINNT\system32\lpxefg.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [iebc32.exe] C:\WINNT\system32\iebc32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74A96577-5613-4332-863D-690A8F2DB111}: NameServer = 217.237.150.97 194.25.2.129
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

Siehst Du hier problematische Einträge. Ich befürchte, ja.

Nochmals besten Dank für Deine tatkräftige und erfolgreiche Unterstützung!!!

Du hattest ja erst geschrieben, sie wäre im Ordner system 32 vorhanden. :)

In deinem Log ist leider in der Tat einiges faul, es sind wohl wenigstens Trojan-Downloader drauf, wenn nicht sogar "echte " Trojaner.

E-Scan herunterladen und wie beschrieben updaten und im abgesicherten Modus scannen lassen:

http://www.trojaner-board.de/42731-escan-anleitung.html

Danach machst du ein neues Logfile und schreibst auch mit rein welche Schädlinge genau von E-Scan entdeckt wurden.