|
Log-Analyse und Auswertung: Neuer Hijacker "jdmno.dll" ??Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.04.2005, 07:48 | #1 |
| Neuer Hijacker "jdmno.dll" ?? Hallo, seit gestern werde ich den about:blank nicht mehr los. Habe schon alles versucht, auch CWShredder in neur Version 2.14 (kein Befund), ebenfalls SpSeHijfis112.exe ==> Stealth string not found. Was kann ich noch tun HijackThis gab folgende Logs aus: 1. Vor fix: Logfile of HijackThis v1.99.1 Scan saved at 07:33:30, on 27.04.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\ASUS\PROBE\ASUSPROB.EXE C:\WINDOWS\SYSTEM\TRAYICON.EXE C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE C:\PROGRAMME\ABIT\COMMON\BIN\WINCINEMAMGR.EXE C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOBNZ08.EXE C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSOL08.EXE C:\PROGRAMME\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE E:\HIJACK_FIXER\HIJACKTHIS.EXE C:\PROGRAMME\YAW 3.5\UPX.EXE C:\WINDOWS\SYSTEM\WINOA386.MOD R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdmno.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdmno.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jdmno.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdmno.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdmno.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdmno.dll/sp.html#12345 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdmno.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.planet-interkom.de/ R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: Class - {6848506E-506F-B70A-FEB6-955AA1CA1A74} - C:\WINDOWS\SYSTEM\SYSYD32.DLL O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System\TrayIcon.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [WinCast] Y:\SETUP.EXE -ldeu O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [autoclk] autoclk.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [ATLLM32.EXE] C:\WINDOWS\ATLLM32.EXE /s O4 - HKCU\..\Run: [YAW Autostart] "C:\PROGRAMME\YAW\yaw.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE" O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe" O4 - HKCU\..\Run: [Rtsb] C:\WINDOWS\Anwendungsdaten\past.exe O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe O4 - Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU) O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab Ich habe alle R1 gefixt außer der mit connection wizzard, außerdem die R3 und die O4 mit Atllm32.exe. Wenn ich hier versuche die folgenden 2 Logs nach Fix und nach erneutem Aufruf von IE dauert das Upload anscheinend zu lange. Habe auch die Partnerseiten durchforstet, aber nichts gefunden. Ich hoffe sehr auf Hilfe, da ich nicht weiß, was hier in meinem System passiert (Datenklau??) Reignier_de |
27.04.2005, 14:24 | #2 | ||
| Neuer Hijacker "jdmno.dll" ?? @ Reignier_de
__________________Zitat:
Hast du das auch im abgesichertem Modi gemacht ? Wenn nicht dann aber fixen: Zitat:
Boote in den abgesicherten Modus, deaktivire Sytemwiederherstellung, scannen und dann fixen Anleitung Lösche manuell diesen Prozess C:\WINDOWS\SYSTEM\SYSYD32.DLL danach wieder scannen>Log speichern>HJTLog hier posten gary |
27.04.2005, 16:24 | #3 |
| Neuer Hijacker "jdmno.dll" ?? Hi Gary,
__________________bin etwas verunsichert: zum einen habe ich - glaube ich jedenfalls - keine Systemwiederherstellung unter W98SE, zum anderen : wie beende ich diesen Prozess, bzw wie finde ich ihn? Wäre schön, wenn Du weiterhelfen könntest. Soll ich außer den Einträgen aus meinem ersten Beitrag noch mehr fixen? Wenn ja, was alles? Gruß Reignier_de Nachtrag: Habe nochmal nachgedacht. Ich nehme jetzt mal an, Du hast gemeint ich solle die Datei SYSYD32.DLL löschen. Habe den Mist,den ichgefunden habe gefixt, Datei SYSYD32.DLL gelöscht und anschließend Neuanmeldung und neueer Scan. ==> Ergebnis scheint ok. Startseite hat sich nicht mehr geändert. Wäre super , wenn es so bleibt. Du hättest mir sehr geholfen. Was macht denn dieser Prozeß, und wo bekommt man die Informationen her, die Du anscheinend hast? Falls es das war: Nochmals vielen Dank! Hier der Scan nach Fix und Löschen: Logfile of HijackThis v1.99.1 Scan saved at 17:30:53, on 27.04.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\ASUS\PROBE\ASUSPROB.EXE C:\WINDOWS\SYSTEM\TRAYICON.EXE C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE C:\PROGRAMME\ABIT\COMMON\BIN\WINCINEMAMGR.EXE C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOBNZ08.EXE C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSOL08.EXE C:\PROGRAMME\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE E:\HIJACK_FIXER\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.planet-interkom.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: Class - {6848506E-506F-B70A-FEB6-955AA1CA1A74} - C:\WINDOWS\SYSTEM\SYSYD32.DLL (file missing) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System\TrayIcon.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [WinCast] Y:\SETUP.EXE -ldeu O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [autoclk] autoclk.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKCU\..\Run: [YAW Autostart] "C:\PROGRAMME\YAW\yaw.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE" O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe" O4 - HKCU\..\Run: [Rtsb] C:\WINDOWS\Anwendungsdaten\past.exe O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe O4 - Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU) O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab Geändert von Reignier_de (27.04.2005 um 16:41 Uhr) |
27.04.2005, 17:40 | #4 | ||
| Neuer Hijacker "jdmno.dll" ?? @ Reignier_de Hab das nicht gecheckt Zitat:
Gehe mit Tastenkombination [STRG] + [ALT] + [ENTF] in den Taskmanager Klicke auf Registerkarte Prozesse,klicke rechts Prozess "explorer.exe", dann "Priorität festlegen",dann"höher als normal",schliesse Taskmanager und lösche die Datei normal über Explorer. Lade die DLL KERNEL32.DLL hier http://virusscan.jotti.org/de/hoch zur überprüfung. Poste dann das Ergebnis PS: Bis auf das hier ist immer noch alles beim alten von den Log-Einträgen Zitat:
Lade dir eScan runter Free eScan und scanne mal dein Rechner (Abgesichertem Modi) damit,poste anschliessend auch das Ergebniss hier.Anleitung---> http://www.trojaner-board.de/42731-escan-anleitung.html Geändert von gary (29.04.2005 um 07:07 Uhr) |
29.04.2005, 06:59 | #5 |
| Neuer Hijacker "jdmno.dll" ?? Hallo Gary, ich war zwei Tage aushäusig und konnte mich deshalb nicht kümmern.Sorry. Zu Deinen letzten Hinweisen habe ich noch ein paar fragen, bevor ich nochmal tätig werde. 1. About:blank trägt sich zur Zeit nicht mehr als Startseite ein. Ist dann nicht alles O.K.? 2. Taskmanager aufrufen und rechte Taste (Eigenschaften) funktionert nicht bei mir (W98?!) 3. Waum Kernel32.dll ersetzen. Das ist doch die zentrale Datei im System oder nicht? Ich habe da ein paar Bedenken. Vielleicht kannst Du die ja zerstreuen. 4. Was ist bei dem letzten LOG noch falsch oder schlecht ? 5. Ich habe Norton Antivirus und Zone Alarm im Einsatz. Verträgt sich das mit escan??. Ich hoffe, Du nimmst mir die vielen Fragen nicht übel. Versteh mich bitte nicht falsch, aber ich möchte es gern etwas genauer wissen , bevor ich ins System eingreife. Grüße und vielen Dank bis hierhin Reignier_de |
29.04.2005, 17:06 | #6 | |||||
| Neuer Hijacker "jdmno.dll" ?? @ Reigner de Zitat:
wenn es so sein sollte,würde ich wohl kaum darauf antworten Zitat:
das würde mich stark wundern http://www.at-mix.de/task_manager.htm Zitat:
Zitat:
Zitat:
Gehe diesen Thread nochmal Schritt für Schritt durch. gary |
29.04.2005, 17:56 | #7 |
| Neuer Hijacker "jdmno.dll" ?? Also Gary, zunächst danke für Deine Antwort, aber ich bin schon etwas älter, habe nicht so viel Erfahrung wie Du (aber auch nicht ganz unbefangen) und bin ein höflicher Mensch. Ich freue mich, daß du mir helfen willst aber ich hätte diese Fragen nicht gestellt, wenn mir alles klar gewesen wäre. Also nochmal: Dann sag mir doch, warum es noch nicht ok ist. Ich bleibe dabei, rechte Maustaste im Taskmanager ist nicht. Registerkarten gibt es auch nicht und mit dem Link kann ich nicht viel anfangen. Wenn nicht löschen oder ersetzen, was meinst Du mit "hochladen" Was ist am Log noch falsch, welche Zeilen? ich kann ja schließlich nicht den ganzen Rest fixen oder? Du hast mir nur die Zeilen gepostet, die nicht mehr vorhanden sind. Vielleicht verstehe ich ja die Systematik auch nicht. Fixen heißt für mich :anschließend (hoffentlich) nicht mehr da. Das kann sicher nicht für die Einträge gelten, die i.O. sind. Entschuldige die dumme Frage nach NAV und ZONE LABS ! Trotzdem danke! |
29.04.2005, 18:09 | #8 | ||
| Neuer Hijacker "jdmno.dll" ?? @ Reigner de Ok, also jetzt eins after dem anderen. Fixe das folgende nochmals im abgesicherten Modi Zitat:
Zitat:
Geändert von gary (29.04.2005 um 18:25 Uhr) |
29.04.2005, 18:17 | #9 |
| Neuer Hijacker "jdmno.dll" ?? Hallo Reignier_de! intlmain.dll scheint ein Trojaner zu sein lasse mal folgende Datei: Bin mir aber jetzt nicht ganz sicher da sich der Trojaner auf diesen Pfad C:\WINDOWS\SYSTEM32\INTLMAIN.DLL befindet. C:\WINDOWS\SYSTEM\INTLMAIN.DLL bei Jotti überprüfen. Wenn nicht mache mal folgendes: Lade dir ESCAN herunter und scanne folgendermaßen: Escan Anleitung Starte in den abgesicherten Modus von Win 98 Bei Neustart "Strg"-Taste gedrückt halten bis das Win 98 Startmenü erscheint. Im "abgesicherten Modus starten" auswählen und mit "Enter"-Taste bestätigen. EDIT: The Saint Geändert von The Saint (29.04.2005 um 18:45 Uhr) |
29.04.2005, 18:38 | #10 | |
| Neuer Hijacker "jdmno.dll" ?? @ Reignier_de Zitat:
Daneben steht ein anderer Balken wo "abschicken" draufsteht.Den klickst du an. Danach wird die Datei von deinem Rechner "hochgeladen" und gescannt. Unten erhälst du die Auswertung.Kopierst das mit "Copy & Paste",und postest das kopierte hier in dein Thread. |
29.04.2005, 18:54 | #11 | |
| Neuer Hijacker "jdmno.dll" ?? @Reignier_de zum Beitrag von The Saint kann ich nur Folgendes posten: Zitat:
Der Autor des Programms A.Haak war der Regular hier im TB, jetzt taucht hier selten auf , denn ist AFAIK becshäftigt mir asquared-Projekt . |
29.04.2005, 19:38 | #12 |
| Neuer Hijacker "jdmno.dll" ?? Danke für die Beiträge. Ich werde das in Ruhe durchgehen, und falls dann noch was funktioniert, mich wieder melden, wahrscheinlich morgen. |
01.05.2005, 09:41 | #13 |
| Neuer Hijacker "jdmno.dll" ?? Hallo Gary and The Saint, ich wünsche einen schönen ersten Mai. Habe inzwischen den Fix im abgesicherten Modus so wie von Gary beschrieben durchgeführt, und auch die Intlmain.dll bei Jotti scannen lassen. Hier das Ergebnis und die Frage: intlmain.dll löschen??? Datei: intlmain.dll Status: INFIZIERT/MALWARE Entdeckte Packprogramme: UPX AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan.Win32.StartPage.iv gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden Nachtrag: ecsan noch nicht durchgeführt! |
01.05.2005, 09:46 | #14 |
| Neuer Hijacker "jdmno.dll" ?? @Reignier_de Ein Escan Logfile wie von mir schon beschrieben wäre interessant. |
01.05.2005, 10:57 | #15 |
| Neuer Hijacker "jdmno.dll" ?? ok, hier das escan logfile: File System Found infected by "vendor Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "sw Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "se Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "hsa Spyware/Adware" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\intlmain.dll infected by "Trojan.Win32.StartPage.iv" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\brt32.exe infected by "Trojan.Win32.Cheap.b" Virus. Action Taken: No Action Taken. |
Themen zu Neuer Hijacker "jdmno.dll" ?? |
acrobat, adobe, antivirus, antivirus scan, asus, autostart, bho, button, dateien, explorer, folge, hijacker, internet, internet explorer, microsoft, officejet, programme, registry, rundll, rundll32.exe, software, starten, symantec, system, urlsearchhook, windows |