Hallo,
seit gestern werde ich den about:blank nicht mehr los. Habe schon alles versucht, auch CWShredder in neur Version 2.14 (kein Befund), ebenfalls SpSeHijfis112.exe ==> Stealth string not found.
Was kann ich noch tun
HijackThis gab folgende Logs aus:

1. Vor fix:

Logfile of HijackThis v1.99.1
Scan saved at 07:33:30, on 27.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ASUS\PROBE\ASUSPROB.EXE
C:\WINDOWS\SYSTEM\TRAYICON.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAMME\ABIT\COMMON\BIN\WINCINEMAMGR.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOBNZ08.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSOL08.EXE
C:\PROGRAMME\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
E:\HIJACK_FIXER\HIJACKTHIS.EXE
C:\PROGRAMME\YAW 3.5\UPX.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.planet-interkom.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {6848506E-506F-B70A-FEB6-955AA1CA1A74} - C:\WINDOWS\SYSTEM\SYSYD32.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System\TrayIcon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinCast] Y:\SETUP.EXE -ldeu
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [ATLLM32.EXE] C:\WINDOWS\ATLLM32.EXE /s
O4 - HKCU\..\Run: [YAW Autostart] "C:\PROGRAMME\YAW\yaw.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [Rtsb] C:\WINDOWS\Anwendungsdaten\past.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe
O4 - Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab

Ich habe alle R1 gefixt außer der mit connection wizzard, außerdem die R3 und die O4 mit Atllm32.exe.
Wenn ich hier versuche die folgenden 2 Logs nach Fix und nach erneutem Aufruf von IE dauert das Upload anscheinend zu lange.

Habe auch die Partnerseiten durchforstet, aber nichts gefunden.
Ich hoffe sehr auf Hilfe, da ich nicht weiß, was hier in meinem System passiert (Datenklau??)

Reignier_de

@ Reignier_de

Zitat:

Ich habe alle R1 gefixt außer der mit connection wizzard, außerdem die R3 und die O4 mit Atllm32.exe.

Hast du das auch im abgesichertem Modi gemacht ?

Wenn nicht dann aber

fixen:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.planet-interkom.de/
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {6848506E-506F-B70A-FEB6-955AA1CA1A74}
O4 - HKLM\..\Run: [WinCast] Y:\SETUP.EXE -ldeu
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\RunServices: [ATLLM32.EXE] C:\WINDOWS\ATLLM32.EXE /s
O4 - HKCU\..\Run: [YAW Autostart] "C:\PROGRAMME\YAW\yaw.exe"
O4 - HKCU\..\Run: [Rtsb] C:\WINDOWS\Anwendungsdaten\past.exe
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)

Boote in den abgesicherten Modus, deaktivire Sytemwiederherstellung, scannen und dann fixen Anleitung

Lösche manuell diesen Prozess C:\WINDOWS\SYSTEM\SYSYD32.DLL

danach wieder scannen>Log speichern>HJTLog hier posten

gary

Hi Gary,

bin etwas verunsichert:
zum einen habe ich - glaube ich jedenfalls - keine Systemwiederherstellung unter W98SE, zum anderen : wie beende ich diesen Prozess, bzw wie finde ich ihn?
Wäre schön, wenn Du weiterhelfen könntest. Soll ich außer den Einträgen aus meinem ersten Beitrag noch mehr fixen? Wenn ja, was alles?

Gruß Reignier_de

Nachtrag:
Habe nochmal nachgedacht. Ich nehme jetzt mal an, Du hast gemeint ich solle die Datei SYSYD32.DLL löschen.

Habe den Mist,den ichgefunden habe gefixt, Datei SYSYD32.DLL gelöscht und anschließend Neuanmeldung und neueer Scan. ==> Ergebnis scheint ok. Startseite hat sich nicht mehr geändert. Wäre super , wenn es so bleibt. Du hättest mir sehr geholfen.
Was macht denn dieser Prozeß, und wo bekommt man die Informationen her, die Du anscheinend hast?

Falls es das war: Nochmals vielen Dank!

Hier der Scan nach Fix und Löschen:

Logfile of HijackThis v1.99.1
Scan saved at 17:30:53, on 27.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ASUS\PROBE\ASUSPROB.EXE
C:\WINDOWS\SYSTEM\TRAYICON.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAMME\ABIT\COMMON\BIN\WINCINEMAMGR.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOBNZ08.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSOL08.EXE
C:\PROGRAMME\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
E:\HIJACK_FIXER\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.planet-interkom.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {6848506E-506F-B70A-FEB6-955AA1CA1A74} - C:\WINDOWS\SYSTEM\SYSYD32.DLL (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System\TrayIcon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinCast] Y:\SETUP.EXE -ldeu
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [YAW Autostart] "C:\PROGRAMME\YAW\yaw.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [Rtsb] C:\WINDOWS\Anwendungsdaten\past.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe
O4 - Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab

@ Reignier_de

Hab das nicht gecheckt

Zitat:

Platform: Windows 98 SE (Win9x 4.10.2222A)

Gehe mit Tastenkombination [STRG] + [ALT] + [ENTF] in den Taskmanager
Klicke auf Registerkarte Prozesse,klicke rechts Prozess "explorer.exe", dann "Priorität festlegen",dann"höher als normal",schliesse Taskmanager und lösche die Datei normal über Explorer.

Lade die DLL KERNEL32.DLL hier http://virusscan.jotti.org/de/hoch zur überprüfung.
Poste dann das Ergebnis

PS: Bis auf das hier ist immer noch alles beim alten von den Log-Einträgen

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R3 - Default URLSearchHook is missing

Lade dir eScan runter Free eScan
und scanne mal dein Rechner (Abgesichertem Modi) damit,poste anschliessend auch das Ergebniss hier.Anleitung---> http://www.trojaner-board.de/42731-escan-anleitung.html

Hallo Gary,
ich war zwei Tage aushäusig und konnte mich deshalb nicht kümmern.Sorry.

Zu Deinen letzten Hinweisen habe ich noch ein paar fragen, bevor ich nochmal tätig werde.

1. About:blank trägt sich zur Zeit nicht mehr als Startseite ein. Ist dann nicht alles O.K.?

2. Taskmanager aufrufen und rechte Taste (Eigenschaften) funktionert nicht bei mir (W98?!)

3. Waum Kernel32.dll ersetzen. Das ist doch die zentrale Datei im System oder nicht? Ich habe da ein paar Bedenken. Vielleicht kannst Du die ja zerstreuen.

4. Was ist bei dem letzten LOG noch falsch oder schlecht ?

5. Ich habe Norton Antivirus und Zone Alarm im Einsatz. Verträgt sich das mit escan??.

Ich hoffe, Du nimmst mir die vielen Fragen nicht übel. Versteh mich bitte nicht falsch, aber ich möchte es gern etwas genauer wissen , bevor ich ins System eingreife.

Grüße und vielen Dank bis hierhin
Reignier_de

@ Reigner de

Zitat:

1. about:blank trägt sich zur Zeit nicht mehr als Startseite ein. Ist dann nicht alles O.K.?

wenn es so sein sollte,würde ich wohl kaum darauf antworten

Zitat:

2. Taskmanager aufrufen und rechte Taste (Eigenschaften) funktionert nicht bei mir

das würde mich stark wundern http://www.at-mix.de/task_manager.htm

Zitat:

3. Waum Kernel32.dll ersetzen. Das ist doch die zentrale Datei im System oder nicht? Ich habe da ein paar Bedenken. Vielleicht kannst Du die ja zerstreuen.

Wo zum steht in diesem Thread irgendwowas geschrieben dass du die ersetzen, oder löschen sollst???

Zitat:

4. Was ist bei dem letzten LOG noch falsch oder schlecht ?

Das habe ich dir doch gepostet.Vergleichen ist angesagt !!

Zitat:

5. Ich habe Norton Antivirus und Zone Alarm im Einsatz. Verträgt sich das mit escan??.

Glaubst du dass ich dir das gesagt hätte, wenn es nicht so sein sollte?

Gehe diesen Thread nochmal Schritt für Schritt durch.

gary

Also Gary,
zunächst danke für Deine Antwort, aber ich bin schon etwas älter, habe nicht so viel Erfahrung wie Du (aber auch nicht ganz unbefangen) und bin ein höflicher Mensch. Ich freue mich, daß du mir helfen willst aber ich hätte diese Fragen nicht gestellt, wenn mir alles klar gewesen wäre.
Also nochmal:

Dann sag mir doch, warum es noch nicht ok ist.

Ich bleibe dabei, rechte Maustaste im Taskmanager ist nicht. Registerkarten gibt es auch nicht und mit dem Link kann ich nicht viel anfangen.

Wenn nicht löschen oder ersetzen, was meinst Du mit "hochladen"

Was ist am Log noch falsch, welche Zeilen? ich kann ja schließlich nicht den ganzen Rest fixen oder? Du hast mir nur die Zeilen gepostet, die nicht mehr vorhanden sind. Vielleicht verstehe ich ja die Systematik auch nicht. Fixen heißt für mich :anschließend (hoffentlich) nicht mehr da. Das kann sicher nicht für die Einträge gelten, die i.O. sind.

Entschuldige die dumme Frage nach NAV und ZONE LABS !

Trotzdem danke!

@ Reigner de

Ok, also jetzt eins after dem anderen.

Fixe das folgende nochmals im abgesicherten Modi

Zitat:

O2 - BHO: Class - {6848506E-506F-B70A-FEB6-955AA1CA1A74}
O4 - HKLM\..\Run: [WinCast] Y:\SETUP.EXE -ldeu
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\RunServices: [ATLLM32.EXE] C:\WINDOWS\ATLLM32.EXE /s
O4 - HKCU\..\Run: [YAW Autostart] "C:\PROGRAMME\YAW\yaw.exe"
O4 - HKCU\..\Run: [Rtsb] C:\WINDOWS\Anwendungsdaten\past.exe

Edit:hab die hier doch glatt vergessen

Zitat:

O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)

gary

Hallo Reignier_de!

intlmain.dll scheint ein Trojaner zu sein lasse mal folgende Datei:

Bin mir aber jetzt nicht ganz sicher da sich der Trojaner auf diesen Pfad
C:\WINDOWS\SYSTEM32\INTLMAIN.DLL befindet.

C:\WINDOWS\SYSTEM\INTLMAIN.DLL bei Jotti überprüfen.

Wenn nicht mache mal folgendes:

Lade dir ESCAN
herunter und scanne folgendermaßen:

Escan Anleitung

Starte in den abgesicherten Modus von Win 98
Bei Neustart "Strg"-Taste gedrückt halten bis das Win 98 Startmenü erscheint.
Im "abgesicherten Modus starten" auswählen und mit "Enter"-Taste bestätigen.

EDIT: The Saint

@ Reignier_de

Zitat:

was meinst Du mit "hochladen"

Hochladen dedeutet dass du diesen Link Jotti anklickst den The Saint angegeben hat, dann kommst du auf die Site, oben steht ein grauer Balken wo "Durchsuchen" draufsteht.Du suchst dann diese Datei, C:\WINDOWS\SYSTEM\INTLMAIN.DLL .
Daneben steht ein anderer Balken wo "abschicken" draufsteht.Den klickst du an.
Danach wird die Datei von deinem Rechner "hochgeladen" und gescannt.
Unten erhälst du die Auswertung.Kopierst das mit "Copy & Paste",und postest das kopierte hier in dein Thread.

@Reignier_de
zum Beitrag von The Saint kann ich nur Folgendes posten:

Zitat:

C:\PROGRAMME\YAW 3.5\UPX.EXE

Das Projekt Yet Another Warner ist AFAIK seit mindestes 2 Jahren gestoppt, es gibt keine Updates mehr. Du sollst das deinstallieren.
Der Autor des Programms A.Haak war der Regular hier im TB, jetzt taucht hier selten auf , denn ist AFAIK becshäftigt mir asquared-Projekt .

Danke für die Beiträge.
Ich werde das in Ruhe durchgehen, und falls dann noch was funktioniert, mich wieder melden, wahrscheinlich morgen.

Hallo Gary and The Saint,
ich wünsche einen schönen ersten Mai.

Habe inzwischen den Fix im abgesicherten Modus so wie von Gary beschrieben durchgeführt, und auch die Intlmain.dll bei Jotti scannen lassen.

Hier das Ergebnis und die Frage: intlmain.dll löschen???

Datei: intlmain.dll
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan.Win32.StartPage.iv gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

Nachtrag: ecsan noch nicht durchgeführt!

@Reignier_de

Ein Escan Logfile wie von mir schon beschrieben wäre interessant.

ok, hier das escan logfile:

File System Found infected by "vendor Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "sw Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "se Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "hsa Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\intlmain.dll infected by "Trojan.Win32.StartPage.iv" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\brt32.exe infected by "Trojan.Win32.Cheap.b" Virus. Action Taken: No Action Taken.