Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Neuer Hijacker "jdmno.dll" ?? (https://www.trojaner-board.de/17111-neuer-hijacker-jdmno-dll.html)

Reignier_de 27.04.2005 07:48
Neuer Hijacker "jdmno.dll" ??
 
Hallo,
seit gestern werde ich den about:blank nicht mehr los. Habe schon alles versucht, auch CWShredder in neur Version 2.14 (kein Befund), ebenfalls SpSeHijfis112.exe ==> Stealth string not found.
Was kann ich noch tun
HijackThis gab folgende Logs aus:

1. Vor fix:

Logfile of HijackThis v1.99.1
Scan saved at 07:33:30, on 27.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ASUS\PROBE\ASUSPROB.EXE
C:\WINDOWS\SYSTEM\TRAYICON.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAMME\ABIT\COMMON\BIN\WINCINEMAMGR.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOBNZ08.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSOL08.EXE
C:\PROGRAMME\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
E:\HIJACK_FIXER\HIJACKTHIS.EXE
C:\PROGRAMME\YAW 3.5\UPX.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.planet-interkom.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {6848506E-506F-B70A-FEB6-955AA1CA1A74} - C:\WINDOWS\SYSTEM\SYSYD32.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System\TrayIcon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinCast] Y:\SETUP.EXE -ldeu
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [ATLLM32.EXE] C:\WINDOWS\ATLLM32.EXE /s
O4 - HKCU\..\Run: [YAW Autostart] "C:\PROGRAMME\YAW\yaw.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [Rtsb] C:\WINDOWS\Anwendungsdaten\past.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe
O4 - Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab

Ich habe alle R1 gefixt außer der mit connection wizzard, außerdem die R3 und die O4 mit Atllm32.exe.
Wenn ich hier versuche die folgenden 2 Logs nach Fix und nach erneutem Aufruf von IE dauert das Upload anscheinend zu lange.

Habe auch die Partnerseiten durchforstet, aber nichts gefunden.
Ich hoffe sehr auf Hilfe, da ich nicht weiß, was hier in meinem System passiert (Datenklau??)

Reignier_de

gary 27.04.2005 14:24
@ Reignier_de

Zitat:
Ich habe alle R1 gefixt außer der mit connection wizzard, außerdem die R3 und die O4 mit Atllm32.exe.

Hast du das auch im abgesichertem Modi gemacht ?

Wenn nicht dann aber

fixen:
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.planet-interkom.de/
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {6848506E-506F-B70A-FEB6-955AA1CA1A74}
O4 - HKLM\..\Run: [WinCast] Y:\SETUP.EXE -ldeu
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\RunServices: [ATLLM32.EXE] C:\WINDOWS\ATLLM32.EXE /s
O4 - HKCU\..\Run: [YAW Autostart] "C:\PROGRAMME\YAW\yaw.exe"
O4 - HKCU\..\Run: [Rtsb] C:\WINDOWS\Anwendungsdaten\past.exe
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)

Boote in den abgesicherten Modus, deaktivire Sytemwiederherstellung, scannen und dann fixen Anleitung

Lösche manuell diesen Prozess C:\WINDOWS\SYSTEM\SYSYD32.DLL

danach wieder scannen>Log speichern>HJTLog hier posten

gary;)

Reignier_de 27.04.2005 16:24
Hi Gary,

bin etwas verunsichert:
zum einen habe ich - glaube ich jedenfalls - keine Systemwiederherstellung unter W98SE, zum anderen : wie beende ich diesen Prozess, bzw wie finde ich ihn?
Wäre schön, wenn Du weiterhelfen könntest. Soll ich außer den Einträgen aus meinem ersten Beitrag noch mehr fixen? Wenn ja, was alles?

Gruß Reignier_de

Nachtrag:
Habe nochmal nachgedacht. Ich nehme jetzt mal an, Du hast gemeint ich solle die Datei SYSYD32.DLL löschen.

Habe den Mist,den ichgefunden habe gefixt, Datei SYSYD32.DLL gelöscht und anschließend Neuanmeldung und neueer Scan. ==> Ergebnis scheint ok. Startseite hat sich nicht mehr geändert. Wäre super , wenn es so bleibt. Du hättest mir sehr geholfen.
Was macht denn dieser Prozeß, und wo bekommt man die Informationen her, die Du anscheinend hast?

Falls es das war: Nochmals vielen Dank!

Hier der Scan nach Fix und Löschen:

Logfile of HijackThis v1.99.1
Scan saved at 17:30:53, on 27.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ASUS\PROBE\ASUSPROB.EXE
C:\WINDOWS\SYSTEM\TRAYICON.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAMME\ABIT\COMMON\BIN\WINCINEMAMGR.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOBNZ08.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSOL08.EXE
C:\PROGRAMME\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
E:\HIJACK_FIXER\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.planet-interkom.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {6848506E-506F-B70A-FEB6-955AA1CA1A74} - C:\WINDOWS\SYSTEM\SYSYD32.DLL (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System\TrayIcon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinCast] Y:\SETUP.EXE -ldeu
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [YAW Autostart] "C:\PROGRAMME\YAW\yaw.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [Rtsb] C:\WINDOWS\Anwendungsdaten\past.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe
O4 - Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab

gary 27.04.2005 17:40
@ Reignier_de

Hab das nicht gecheckt :headbang:
Zitat:
Platform: Windows 98 SE (Win9x 4.10.2222A)

Gehe mit Tastenkombination [STRG] + [ALT] + [ENTF] in den Taskmanager
Klicke auf Registerkarte Prozesse,klicke rechts Prozess "explorer.exe", dann "Priorität festlegen",dann"höher als normal",schliesse Taskmanager und lösche die Datei normal über Explorer.

Lade die DLL KERNEL32.DLL hier http://virusscan.jotti.org/de/hoch zur überprüfung.
Poste dann das Ergebnis

PS: Bis auf das hier ist immer noch alles beim alten von den Log-Einträgen
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdmno.dll/sp.html#12345
R3 - Default URLSearchHook is missing




Lade dir eScan runter Free eScan
und scanne mal dein Rechner (Abgesichertem Modi) damit,poste anschliessend auch das Ergebniss hier.Anleitung---> http://www.trojaner-board.de/42731-escan-anleitung.html

Reignier_de 29.04.2005 06:59
Hallo Gary,
ich war zwei Tage aushäusig und konnte mich deshalb nicht kümmern.Sorry.

Zu Deinen letzten Hinweisen habe ich noch ein paar fragen, bevor ich nochmal tätig werde.

1. About:blank trägt sich zur Zeit nicht mehr als Startseite ein. Ist dann nicht alles O.K.?

2. Taskmanager aufrufen und rechte Taste (Eigenschaften) funktionert nicht bei mir (W98?!)

3. Waum Kernel32.dll ersetzen. Das ist doch die zentrale Datei im System oder nicht? Ich habe da ein paar Bedenken. Vielleicht kannst Du die ja zerstreuen.

4. Was ist bei dem letzten LOG noch falsch oder schlecht ?

5. Ich habe Norton Antivirus und Zone Alarm im Einsatz. Verträgt sich das mit escan??.

Ich hoffe, Du nimmst mir die vielen Fragen nicht übel. Versteh mich bitte nicht falsch, aber ich möchte es gern etwas genauer wissen , bevor ich ins System eingreife.

Grüße und vielen Dank bis hierhin
Reignier_de

gary 29.04.2005 17:06
@ Reigner de

Zitat:
1. about:blank trägt sich zur Zeit nicht mehr als Startseite ein. Ist dann nicht alles O.K.?

wenn es so sein sollte,würde ich wohl kaum darauf antworten ;)

Zitat:
2. Taskmanager aufrufen und rechte Taste (Eigenschaften) funktionert nicht bei mir

das würde mich stark wundern http://www.at-mix.de/task_manager.htm

Zitat:
3. Waum Kernel32.dll ersetzen. Das ist doch die zentrale Datei im System oder nicht? Ich habe da ein paar Bedenken. Vielleicht kannst Du die ja zerstreuen.
Wo zum :teufel3: steht in diesem Thread irgendwowas geschrieben dass du die ersetzen, oder löschen sollst???:confused:

Zitat:
4. Was ist bei dem letzten LOG noch falsch oder schlecht ?
Das habe ich dir doch gepostet.Vergleichen ist angesagt !!

Zitat:
5. Ich habe Norton Antivirus und Zone Alarm im Einsatz. Verträgt sich das mit escan??.
Glaubst du dass ich dir das gesagt hätte, wenn es nicht so sein sollte?:balla:

Gehe diesen Thread nochmal Schritt für Schritt durch.

gary

Reignier_de 29.04.2005 17:56
Also Gary,
zunächst danke für Deine Antwort, aber ich bin schon etwas älter, habe nicht so viel Erfahrung wie Du (aber auch nicht ganz unbefangen) und bin ein höflicher Mensch. Ich freue mich, daß du mir helfen willst aber ich hätte diese Fragen nicht gestellt, wenn mir alles klar gewesen wäre.
Also nochmal:

Dann sag mir doch, warum es noch nicht ok ist.

Ich bleibe dabei, rechte Maustaste im Taskmanager ist nicht. Registerkarten gibt es auch nicht und mit dem Link kann ich nicht viel anfangen.

Wenn nicht löschen oder ersetzen, was meinst Du mit "hochladen"

Was ist am Log noch falsch, welche Zeilen? ich kann ja schließlich nicht den ganzen Rest fixen oder? Du hast mir nur die Zeilen gepostet, die nicht mehr vorhanden sind. Vielleicht verstehe ich ja die Systematik auch nicht. Fixen heißt für mich :anschließend (hoffentlich) nicht mehr da. Das kann sicher nicht für die Einträge gelten, die i.O. sind.

Entschuldige die dumme Frage nach NAV und ZONE LABS !

Trotzdem danke!

gary 29.04.2005 18:09
@ Reigner de

Ok, also jetzt eins after dem anderen.;)

Fixe das folgende nochmals im abgesicherten Modi
Zitat:
O2 - BHO: Class - {6848506E-506F-B70A-FEB6-955AA1CA1A74}
O4 - HKLM\..\Run: [WinCast] Y:\SETUP.EXE -ldeu
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\RunServices: [ATLLM32.EXE] C:\WINDOWS\ATLLM32.EXE /s
O4 - HKCU\..\Run: [YAW Autostart] "C:\PROGRAMME\YAW\yaw.exe"
O4 - HKCU\..\Run: [Rtsb] C:\WINDOWS\Anwendungsdaten\past.exe
Edit:hab die hier doch glatt vergessen
Zitat:
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL
O9 - Extra button: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5E345840-0AFE-11D9-B617-000102030405} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)
gary

The Saint 29.04.2005 18:17
Hallo Reignier_de!

intlmain.dll scheint ein Trojaner zu sein lasse mal folgende Datei:

Bin mir aber jetzt nicht ganz sicher da sich der Trojaner auf diesen Pfad
C:\WINDOWS\SYSTEM32\INTLMAIN.DLL befindet.

C:\WINDOWS\SYSTEM\INTLMAIN.DLL bei Jotti überprüfen.

Wenn nicht mache mal folgendes:

Lade dir ESCAN
herunter und scanne folgendermaßen:

Escan Anleitung

Starte in den abgesicherten Modus von Win 98
Bei Neustart "Strg"-Taste gedrückt halten bis das Win 98 Startmenü erscheint.
Im "abgesicherten Modus starten" auswählen und mit "Enter"-Taste bestätigen.

EDIT: The Saint

gary 29.04.2005 18:38
@ Reignier_de

Zitat:
was meinst Du mit "hochladen"
Hochladen dedeutet dass du diesen Link Jotti anklickst den The Saint angegeben hat, dann kommst du auf die Site, oben steht ein grauer Balken wo "Durchsuchen" draufsteht.Du suchst dann diese Datei, C:\WINDOWS\SYSTEM\INTLMAIN.DLL .
Daneben steht ein anderer Balken wo "abschicken" draufsteht.Den klickst du an.
Danach wird die Datei von deinem Rechner "hochgeladen" und gescannt.
Unten erhälst du die Auswertung.Kopierst das mit "Copy & Paste",und postest das kopierte hier in dein Thread.;)

Rene-gad 29.04.2005 18:54
@Reignier_de
zum Beitrag von The Saint kann ich nur Folgendes posten:
Zitat:
C:\PROGRAMME\YAW 3.5\UPX.EXE
Das Projekt Yet Another Warner ist AFAIK seit mindestes 2 Jahren gestoppt, es gibt keine Updates mehr. Du sollst das deinstallieren.
Der Autor des Programms A.Haak war der Regular hier im TB, jetzt taucht hier selten auf , denn ist AFAIK becshäftigt mir asquared-Projekt ;).

Reignier_de 29.04.2005 19:38
Danke für die Beiträge.
Ich werde das in Ruhe durchgehen, und falls dann noch was funktioniert, mich wieder melden, wahrscheinlich morgen.

Reignier_de 01.05.2005 09:41
Hallo Gary and The Saint,
ich wünsche einen schönen ersten Mai.

Habe inzwischen den Fix im abgesicherten Modus so wie von Gary beschrieben durchgeführt, und auch die Intlmain.dll bei Jotti scannen lassen.

Hier das Ergebnis und die Frage: intlmain.dll löschen???

Datei: intlmain.dll
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan.Win32.StartPage.iv gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

Nachtrag: ecsan noch nicht durchgeführt!

The Saint 01.05.2005 09:46
@Reignier_de

Ein Escan Logfile wie von mir schon beschrieben wäre interessant.

Reignier_de 01.05.2005 10:57
ok, hier das escan logfile:

File System Found infected by "vendor Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "sw Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "se Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "hsa Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\intlmain.dll infected by "Trojan.Win32.StartPage.iv" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\brt32.exe infected by "Trojan.Win32.Cheap.b" Virus. Action Taken: No Action Taken.

gary 01.05.2005 14:39
Poste auch dein HJThis Logfile nachdem du gefixt hast


gary

Reignier_de 01.05.2005 15:33
Hi Gary, hier ist es:

Logfile of HijackThis v1.99.1
Scan saved at 10:26:03, on 01.05.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
E:\HIJACK_FIXER\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.planet-interkom.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System\TrayIcon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe
O4 - Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab

gary 01.05.2005 16:49
Und wo sind die jetzt geblieben ?

Zitat:
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ASUS\PROBE\ASUSPROB.EXE
C:\WINDOWS\SYSTEM\TRAYICON.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAMME\ABIT\COMMON\BIN\WINCINEMAMGR.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOBNZ08.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSOL08.EXE
C:\PROGRAMME\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

Dann geh nochmal in den abgesicherten Mod,C: > WINDOWS > System > suche intlmain.dll & brt32.exe und versuche sie manuell zu löschen.

Im Grunde wär ich für Neuaufsetzten, da ja dein Antivirusprogramm nicht mal einen Alarm ausgegeben hat, kann sein dass er schon hintergangen wurde.

Reignier_de 02.05.2005 09:40
Hi Gary,
entschuldige bitte, aber da habi ich dich wahrscheinlich irregeführt.
Die Einträge waren nicht da, weil ich HjThis im abgesicherten Modus habe laufen lassen, sorry. War wahrscheinlich blöd von mir.

Hier nun das aktuelle Log:

Logfile of HijackThis v1.99.1
Scan saved at 07:41:18, on 02.05.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ASUS\PROBE\ASUSPROB.EXE
C:\WINDOWS\SYSTEM\TRAYICON.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAMME\ABIT\COMMON\BIN\WINCINEMAMGR.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOBNZ08.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSOL08.EXE
C:\PROGRAMME\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
E:\HIJACK_FIXER\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.planet-interkom.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System\TrayIcon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe
O4 - Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab

Laut Norton Antivirus keine Viren.
Habe dann noch mal escan laufen lassen über alle Laufwerke

Folgendes Ergebnis:

File System Found infected by "vendor Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "sw Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "se Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "hsa Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\RECYCLED\Q330995.exe infected by "Trojan-Downloader.Win32.Small.amb" Virus. Action Taken: No Action Taken.
File C:\ied_s7.cab infected by "Trojan-Downloader.Win32.Mediket.r" Virus. Action Taken: No Action Taken.
File C:\Temp\windsl.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Temp\SearchRelevancy.exe infected by "not-a-virus:AdWare.Relevance.b" Virus. Action Taken: No Action Taken.
File C:\jdk1.3\demo\applets\BarChart\Chart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\I6.HTM infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\eied_s7.cab infected by "Trojan-Downloader.Win32.Mediket.ad" Virus. Action Taken: No Action Taken.
File E:\Normaldaten\downloads\pk262wsp.exe infected by "not-a-virus:AdWare.TimeSink" Virus. Action Taken: No Action Taken.
File E:\Normaldaten\installw98se\cdsample\sampler.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\Normaldaten\installw98se\win98\ebd.cab tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File E:\Normaldaten\installw98se\win98\ols\aol\aol40de.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\Pinnacle_Sicherung_aus_C\Studio DV\Ppe105.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Wäre nett, wenn du nochmal drüberschaust. Neu aufsetzen würde ich ehrlich gesagt nicht so gern.

Nachtrag 03.05.05 :

Die Zeilen 2,3 4, aus dem escan-log habe ich mit Ad-Aware wegbekommen.
Also se, sw, hsa spyware sind weg.

The Saint 03.05.2005 20:43
@Reignier_de!

Lass mal diese Datei C:\WINDOWS\SYSTEM\TRAYICON.EXE bei JOTTI überprüfen.

Ansonsten sieht dein HJT Log sauber aus.

Lade dir Spybot S&D herunter, updaten und im abgesicherten Modus scannen lassen.

Weiters lösche alle Dateien

C:\WINDOWS\COMMAND\EBD\EBD.CAB
File C:\RECYCLED\Q330995.exe
File C:\ied_s7.cab
File C:\Temp\windsl.zip t
File C:\Temp\SearchRelevancy.exe
File C:\jdk1.3\demo\applets\BarChart\Chart.class
File C:\I6.HTM infected
File C:\eied_s7.cab
File E:\Normaldaten\downloads\pk262wsp.exe
File E:\Normaldaten\installw98se\cdsample\sampler.exe
File E:\Normaldaten\installw98se\win98\ebd.cab
File E:\Normaldaten\installw98se\win98\ols\aol\aol40de. exe
File E:\Pinnacle_Sicherung_aus_C\Studio DV\Ppe105.exe

Falls sich manche Dateien nicht löschen lassen benutze Killbox
Anleitung:
Unter: Full Path of File to delete--> gibt man den Pfad zur der Datei an

Darunter Delete on Reboot kennzeichnen.

Mit dem roten Button mit dem weissen X bestätigen.

Im nächsten Fenster mit "Ja" bestätigen.

Danach folgt wieder ein Fenster hier mit "Nein" bestätigen und erst wenn man alle dateien eingegeben hat dann mit "Ja".

Reignier_de 06.05.2005 12:33
Hallo The Saint,

TrayIcon.exe bei Jotti überprüft: Status ok, kein Befund

Spybot S&D ebenfalls kein Befund.

Habe alle von Dir angegebenen Dateien gelöscht, aber noch im Papierkorb,
daher folgendes Log bei escan:

File System Found infected by "vendor Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\723D4A2D.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\12251E7A infected by "Trojan-Downloader.Win32.Small.amb" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC0.CAB infected by "Trojan-Downloader.Win32.Mediket.r" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC1.EXE infected by "not-a-virus:AdWare.Relevance.b" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC2.ZIP tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\RECYCLED\DC3.CLASS tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\RECYCLED\DC4.HTM infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC5.CAB infected by "Trojan-Downloader.Win32.Mediket.ad" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC6.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File E:\RECYCLED\DE0.EXE infected by "not-a-virus:AdWare.TimeSink" Virus. Action Taken: No Action Taken.
File E:\RECYCLED\DE1.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\RECYCLED\DE2.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File E:\RECYCLED\DE3.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\RECYCLED\DE4.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Außer Zeile 1 entweder Einträge von NAV Quaratäne oder aus Papierkorb.
Dort sind allerdings auch Einträge bei, die als not-a-virus kommentiert sind.

Soll ich trotzdem alles löschen????

The Saint 07.05.2005 09:45
Leere bei abgeschaltener Systemwiederherstellung:

Rechter Mausklick auf das Symbol Arbeitsplatz --> Eigenschaften --> Systemwiederherstellung (Haken bei "Systemwiederherstellung bei allen Laufwerken deaktivieren setzen").
Oder diese Erklärung

den Recyled Ordner und
C:\Programme\Norton AntiVirus\Quarantine\723D4A2D.zip
C:\Programme\Norton AntiVirus\Quarantine\12251E7A

Poste danach nochmal ein HJT Logfile.

Reignier_de 07.05.2005 18:35
Win 98 SE ==> keine Systemwiederherstellung

ok, alles gelöscht,
hier das LOG von HJThis:

Logfile of HijackThis v1.99.1
Scan saved at 19:23:43, on 07.05.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ASUS\PROBE\ASUSPROB.EXE
C:\WINDOWS\SYSTEM\TRAYICON.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAMME\ABIT\COMMON\BIN\WINCINEMAMGR.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOBNZ08.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSOL08.EXE
C:\PROGRAMME\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\HPZIPM12.EXE
C:\WINDOWS\EXPLORER.EXE
E:\HIJACK_FIXER\HIJACKTHIS.EXE
C:\PROGRAMME\YAW 3.5\UPX.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.planet-interkom.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System\TrayIcon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - HKCU\..\RunServices: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\RunServices: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe
O4 - Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INETREPL.DLL
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab

The Saint 07.05.2005 18:39
Alles OK!!

Reignier_de 09.05.2005 06:18
Vielen Dank für Eure Hilfe :daumenhoc
komme gerne wieder ins forum


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131