| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Wdmak.dllWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.07.2004, 00:41
| #1 |
| |  Wdmak.dll Hatte ein Problem mit WDMAK.DLL. Habe mich einige Stunden heute damit beschäftigt und wollte folgendes loswerden, was ich herausfinden konnte: Grundsätzliches: Befallenes System: Windows 98, IE 5.5 Die WDMAK.DLL gehört mit ziemlicher Sicherheit zu einem Browser-Hijacker, der den Internet Explorer anpasst (und in meinem Fall zum Absturz bringt). Die Start und die Suchseiten wurden lokal auf eine Datei im Windows/Temp-Verzeichnis umgeleitet (SP.HTML). Die Datei wird sowohl beim Systemstart als auch beim Start des IE neu erstellt (wenn diese zuvor gelöscht wurde). Die Startseite des IE ist about:blank, jedoch wird im Browser-Fenster trotzdem eine Web-Page angezeigt. Die Startseite lässt sich nicht mehr ändern (wird beim nächsten Start des IE wieder auf about:blank mit der 'falschen' Webseite zurückgestellt). Die WDMAK.DLL kommt zusammen mit den Dateien NNLOI.DLL und WDMNM.DLL, die alle drei im WINDOWS/System-Verzeichnis zu finden sind. Dabei übernimmt die Datei NNLOI.DLL die Kontrolle über die Startseite im Internet Explorer (auch beim Entfernen der Spyware-Registry-Einträge und Dateien (z.B. mit Ad-Aware) werden diese Einträge beim Start vom IE wieder hergestellt) -- war mit FILEMON zu erkennen. Die Datei WDMAK.DLL war in meinem Fall nicht mehr über Windows sichtbar (ich hab's auch erst nicht geglaubt, weder der Windows-Explorer noch die Datei-Suche brachte die Datei zum Vorschein). Nur aus dem DOS-Fenster konnte die Datei lokalisiert werden. Nach dem Entfernen der drei Dateien (diese waren in Benutzung und konnten nur direkt aus DOS entfernt werden) und anschließendem Säubern mit Ad-Aware lief der PC wieder, bis auf die Meldung, dass beim Systemstart die Datei WDMAK.DLL nicht geladen werden kann (kommt von RUNDLL.EXE). Leider habe ich weder in den .INI's noch in der Registry einen entsprechenden Eintrag finden können, der diese Fehlermeldung verursacht. Dazu meine Frage: Wo startet sich diese DLL???? Weiterhin würde mich interessieren, zu welcher Software / Firma diese DLLs gehören und was diese genau tun (bei der Analyse war ich erstaunt über die Professionalität und die Sorgfalt, die bei der Programmierung angewandt wurden, es verhält sich fast wie ein gut programmiertes Virus). PS: habe leider kein Hi-Jack-Log, da der befallene Rechner einem Freund gehört und dieser (weil die T-Online-Software sich nicht mehr starten ließ) nicht mehr ans Internet verbinden wollte, um das Tool herunter zu laden. Jedoch habe ich die Kopien der drei Dateien (und aller weiteren verdächtigen Dateien, die am selben Tag erstellt wurden), die ich auf Nachfrage zur Verfügung stellen kann. |
|
05.07.2004, 00:57
| #2 |
| |  Wdmak.dll gerade gefunden:
__________________http://www.trojaner-info.de/anleitun...out_blank.html Da wird beschrieben, wie man das Ding vom Rechner wieder herunter bekommt. Es bleibt die Frage offen, was es tut und woher es kommt... Die Search-Bar-Adresse ist wenig aufschlussreich: eNIC Registry Whois Server Version 1.24 Domain Name: SEARCHX.CC Registrar: .TV Corporation Whois Server: whois.www.tv Name Server: N1.SEARCHX.CC Name Server: N2.COUNT.CC Updated: 2004-06-11 15:26:15 auf einem Rechner in St.Petersburg...ziemlich jwd... IP-Adresse: 195.190.118.131 Domain Name: searchx.cc Registrant: Galina Charmandjieva (xboy66a@yahoo.com) City Chess 8.1 Elista, NONE 358000 RU 5-41-62 Administrative, Technical, Billing Contact: Galina Charmandjieva (xboy66a@yahoo.com) City Chess 8.1 Elista, NONE 358000 RU 5-41-62 Record expires on: Mar 17 2005 Record created on: Mar 17 2004 Domain Name Servers: n1.searchx.cc n2.count.cc Hier die Firma bei denen das gehosted ist Garth Miller Island Internet Services Pax Quarters 3 Sydney Highway 6799 Cocos (Keeling) Islands Email: garth@nic.cc Voice: +61 8 9162 6770 Fax: +61 2 947 50014 Nach der Säuberungsaktion heute hätte ich gute Lust, dem Menschen dieser Search-Site eine nette eMail zu schreiben, aber da wird sowieso nix dabei raus kommen ... Geändert von ubecool (05.07.2004 um 01:32 Uhr) |
|
05.07.2004, 01:49
| #3 |
| | Wdmak.dll beim googeln der Fake-Adresse bin ich auf folgenden Post gestoßen, der den kompletten Prozess des Entfernens für XP ausführlich darstellt (ich weiss zwar immer noch nicht so genau, wo bei W98 die DLL geladen wird, aber das wird sich ja noch herausfinden lassen...).
__________________http://forums.thetechguys.com/showthread.php?t=5023 Nennt sich wohl cws.searchx.cc/realyellowpages.... Das Ding ist echt zäh und arbeitet mit allen Tricks, wie schon gesagt, da war kein Dilettant am Werk...  |
|
| Themen zu Wdmak.dll |
| absturz, ad-aware, browser-fenster, datei, dateien, entfernen, explorer, falsche, fehlermeldung, folge, frage, gelöscht, internet, internet explorer, loswerden, meinem, neu, nicht geladen, problem, rundll.exe, sicherheit, software, starten, startseite, system, systemstart, träge, virus, windows, windows-explorer, ändern |
Linear-Darstellung
