Hallo auch,
ich habe seit "längerem" einen Schädling - zumindest vermute ich das.

Symptome:
In regelmäßigen Abständen (grob geschätzt 1x die Woche) will eine EXE-Datei,
zuletzt jetzt eben die "xtbhxocj.exe" auf das Internet zugreifen.
Meine Firewall meldet mir dies und ich unterbinde es dann. Diese Exe liegt
dann im System Ordner von Windows. Die Datei hat als Herstellungsdatum
immer den "heutigen" Tag und ist gerade erst vor wenigen Sekunden
erstellt worden. Logischerweise lösche ich die Datei dann. Nach einiger
Zeit (eben ca. einer Woche) versucht eine neue Datei auf das Internet
zuzugreifen. Die Datein haben immer andere Namen, gleichen sich aber durch
das "Kauderwelsch" - es sind immer Namen 8 mit Buchstaben. Die Eigenschaften
sind sogar exakt die selben:

Eigenschaften von ********.exe
Registerkarte Version

Dateiversion: 1.00
Beschreibung: "leer"
Copyright: "leer"

Weitere Versionsinformationen:
Firmenname: Microsoft
Interner Name: loader242
Original-Dateiname: loader242.exe
Produktname: _
Produktversion: 1.00
Sprache: Englisch (USA)

Größe der Datei: 9 kB

Ich habe schon zahlreiche Versuche unternommen, diese Problem zu lösen.
Ich habe meine Festplatte (BS) auf eine andere Platte gespiegelt und mit
vielen im Netz erhältichen Virenscannern gesucht. Natürlich wurde immer
erst ein Up-Date durchgeführt. Es wird nichts gefunden.
- Norton AntiVirus
- Avira AntiVir
- KasperSky
- Avalast
- und noch einige mehr

SpyBot Search and Destroy, CW-Schredder und Adaware SE sind auch
durchgelaufen. Im HighJackThis Log-File findet sich nichts verräterisches.

Und da die Frage ja auch immer kommt, die vorhandene Hard- und Software:
Prozessor: Pentium II mit 400 mHz und MMX
Brett: GigaByte Mainboard GB6-BXE
RAM: 128 MB
System: Windows 98SE
Browser: IE 5.0

Ich weiß, dass ein neuer bzw. anderer Browser angebracht wäre und auch
das System nicht gerade für seine Sicherheit berühmt ist, aber ich rufe
im Grunde mit diesem PC nur "sichere" Seiten auf. - z.B. eBay.
Es muss doch aber möglich sein, heraus zu bekommen, woher bzw. von
welchem Programm diese Exe jedes mal erstellt wird! Der Trojaner, wenn es
denn überhaupt einer ist, ist aber auf jeden Fall schon älter. Ich kann
unmöglich der einzige sein, der das Problem hat - aber die Google-Anfrage
"Loader242" bringt gar nichts.

Hat nicht mal jemand einen Tipp, wie ich das mal herausbekomme?

HILFEEEEEEEE!

Liebe Grüße Bell

Das ist für mich definitiv Malware. Poste mal ein Hijackthis-Logfile.

Hallo auch,
klar kann ich machen. Ich habe es natürlich zuvor schon mal angeschaut und ich konnte nichts verdächtiges finden. Aber vielleicht seht Ihr ja mehr.

Logfile of HijackThis v1.99.1
Scan saved at 18:14:42, on 27.10.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\NORTON INTERNET SECURITY\NISSERV.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\SYMPROXYSVC.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\WINDOWS\SYSTEM\HPOOPM07.EXE
C:\PROGRAMME\DIAMOND\INCONTROL TOOLS 99\DMHKEY.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET G SERIES\BIN\HPODEV07.EXE
C:\PROGRAMME\PLEXTOR\PLEXTOOL.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\FRITZ\FRIFON32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET G SERIES\BIN\HPOEVM07.EXE
C:\WINDOWS\SYSTEM\HPOIPM07.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\ATRACK.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET G SERIES\BIN\HPOSTS07.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET G SERIES\BIN\HPOFXM07.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\EIGENE DATEN\TOOLS\HIJACK THIS\VER 1-99-1\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ZUBEHÖR\SPYBOO~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\stimon.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\SYSTEM\hpoopm07.exe
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton Internet Security\NISSERV.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - Startup: InControl Desktop Manager.lnk = C:\Programme\Diamond\InControl Tools 99\DMHKEY.EXE
O4 - Startup: HPAiODevice.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet G Series\bin\hpodev07.exe
O4 - Startup: PlexTools.lnk = C:\Programme\Plextor\PlexTool.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: FRITZ!fon.lnk = C:\Programme\Fritz\FriFon32.exe
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\JETCAR.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\JETCAR.EXE
O12 - Plugin for .pl/010110A/ZHh4fDYjI3t7eyJoa3Z+fyJoaSNlYnhpfmIjPjw8PSNlYnhpfmJTOSJ8aGo=: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) - http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 217.237.150.225,217.237.150.141

Zitat:

C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll

Diese Datei könnte was damit zu tun habe, ansonsten ist imho nichts ersichtlich. Werte die mal bei Virustotal aus und poste das Ergebnis. Weil sonst nicht viel ersichtlich ist, könnte das was echt böses sein, scan daher auch mal mit Blacklight. Poste davon die Logdatei.
Wenn Du schon den IE nicht updaten lassen willst, solltest Du wenigstens einen Alternativbrowser (Firefox, Opera) verwenden. Ich empfehle Dir aber dringends den IE upzudaten.

Hallo,
ich hoffe mal, dass ich alles richtig gemacht habe. Ich habe die Datei bei
VirusTotal ausgewählt und sie dann gesendet. Im Anschluss wurde ein
Bericht angezeigt.

Bericht:

STATUS: SCANNINGFile "nppdf32.dll" received on 10.30.2006 at 10:17:58 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 7.2.0.34 10.30.2006 no virus found
Authentium 4.93.8 10.30.2006 no virus found
Avast 4.7.892.0 10.27.2006 no virus found
AVG 386 10.27.2006 no virus found


Aditional Information
File size: 103312 bytes
MD5: 12179617805161ee22ceef37699ee4e6
SHA1: 7ef910275de5dafadf299a321951e232d355db73

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.


Die Datei gehört anscheinend zum Acrobat Reader?

PS Blacklight folfg!

BlackLight scheint bei Windows 98SE nicht zu laufen.

Hm, okay, das hätte ich auch per Google-Suche sehen müssen, dass die wohl vom Acrobat stammt. Trotzdem solltest Du Windows und besonders den IE auf dem aktuellen Stand halten, aber zum Surfen einen Alternativbrowser verwenden. Besuche also die Windows-Updateseite und spiele alle vorgeschlagenen Updates ein. Evtl. muss vorher der IE6 eingespielt werden, mach das und starte erneut das Windows-Update, bis keine weiteren Updates mehr angeboten werden.
Mach aber vorher einen ausführlichen Check mit eScan, siehe Signatur.

Ach herje, dass ist jetzt ja schade. Hatte ich doch fast gehofft,
dass Ihr hier endlich mein Problem gefunden hattet.

Ich suche ja schon eine Weile nach der Ursache - klar, man
müllt ja schließlich nicht gleich "irgendwelche" Foren voll.
Na jedenfalls habe ich den eScan schon länger - auch mit
einer neuen Definition. Der hat auch nix gefunden.

Das mit dem Up-Date dürfte sich schwierig erweisen. Also sicher
ist mal, dass meinem BS noch so einiges fehlen wird. ABER die
bei MS haben den Support für Win98 erst gerade vor kurzem
eingestellt. Das heißt, die Up-Date Funktion läuft nicht mehr.
Ich wollte vor kurzem (schon ein bis drei Monate oder so) mein
Windows updaten, von daher weiß ich das so genau. Jetzt kann
man nur noch manuel suchen. Da findet man aber vieles, was
man sich dann erst mal genauer anschauen muss.

Und wo ist das Log vom Blacklight, wie Cosinus Dir angeraten hat? Liest Du die Antworten, die Du bekommst?

@Bell1: Updates zu Win98 findest Du hier...
Der IE6 läuft m.W. auch unter Win98. Zumindest den solltest Du aufspielen, aber zum normalen Surfen Firefox oder Opera verwenden.
Support eingestellt heißt doch "nur", dass keine weiteren Patches für Win98 mehr herausgebracht werden, aber die vorhandenen Updates lassen sich nat. problemlos einspielen.

Vllt. solltest Du aber mal in absehbarer Zeit auf ein moderneres OS umsteigen, es muss ja nicht Windows sein. Für einigermaßen angenehmes Arbeiten ist dann aber auch neue Hardware fällig, da muss es aber auch nicht gleich Highend sein.

@felix: Blacklight läuft lt. Bell's Aussage nicht unter Win98.

Zitat:

Zitat von cosinus

@felix: Blacklight läuft lt. Bell's Aussage nicht unter Win98.

Und wo finde ich die Aussage?
@Bell1
Lasse mal Ewido laufen:
Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.