Hallo auch,
ich habe seit "längerem" einen Schädling - zumindest vermute ich das.

Symptome:
In regelmäßigen Abständen (grob geschätzt 1x die Woche) will eine EXE-Datei,
zuletzt jetzt eben die "xtbhxocj.exe" auf das Internet zugreifen.
Meine Firewall meldet mir dies und ich unterbinde es dann. Diese Exe liegt
dann im System Ordner von Windows. Die Datei hat als Herstellungsdatum
immer den "heutigen" Tag und ist gerade erst vor wenigen Sekunden
erstellt worden. Logischerweise lösche ich die Datei dann. Nach einiger
Zeit (eben ca. einer Woche) versucht eine neue Datei auf das Internet
zuzugreifen. Die Datein haben immer andere Namen, gleichen sich aber durch
das "Kauderwelsch" - es sind immer Namen 8 mit Buchstaben. Die Eigenschaften
sind sogar exakt die selben:

Eigenschaften von ********.exe
Registerkarte Version

Dateiversion: 1.00
Beschreibung: "leer"
Copyright: "leer"

Weitere Versionsinformationen:
Firmenname: Microsoft
Interner Name: loader242
Original-Dateiname: loader242.exe
Produktname: _
Produktversion: 1.00
Sprache: Englisch (USA)

Größe der Datei: 9 kB

Ich habe schon zahlreiche Versuche unternommen, diese Problem zu lösen.
Ich habe meine Festplatte (BS) auf eine andere Platte gespiegelt und mit
vielen im Netz erhältichen Virenscannern gesucht. Natürlich wurde immer
erst ein Up-Date durchgeführt. Es wird nichts gefunden.
- Norton AntiVirus
- Avira AntiVir
- KasperSky
- Avalast
- und noch einige mehr

SpyBot Search and Destroy, CW-Schredder und Adaware SE sind auch
durchgelaufen. Im HighJackThis Log-File findet sich nichts verräterisches.

Und da die Frage ja auch immer kommt, die vorhandene Hard- und Software:
Prozessor: Pentium II mit 400 mHz und MMX
Brett: GigaByte Mainboard GB6-BXE
RAM: 128 MB
System: Windows 98SE
Browser: IE 5.0

Ich weiß, dass ein neuer bzw. anderer Browser angebracht wäre und auch
das System nicht gerade für seine Sicherheit berühmt ist, aber ich rufe
im Grunde mit diesem PC nur "sichere" Seiten auf. - z.B. eBay.
Es muss doch aber möglich sein, heraus zu bekommen, woher bzw. von
welchem Programm diese Exe jedes mal erstellt wird! Der Trojaner, wenn es
denn überhaupt einer ist, ist aber auf jeden Fall schon älter. Ich kann
unmöglich der einzige sein, der das Problem hat - aber die Google-Anfrage
"Loader242" bringt gar nichts.

Hat nicht mal jemand einen Tipp, wie ich das mal herausbekomme?

HILFEEEEEEEE!

Liebe Grüße Bell

Das ist für mich definitiv Malware. Poste mal ein Hijackthis-Logfile.

Hallo auch,
klar kann ich machen. Ich habe es natürlich zuvor schon mal angeschaut und ich konnte nichts verdächtiges finden. Aber vielleicht seht Ihr ja mehr.

Logfile of HijackThis v1.99.1
Scan saved at 18:14:42, on 27.10.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\NORTON INTERNET SECURITY\NISSERV.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\SYMPROXYSVC.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\WINDOWS\SYSTEM\HPOOPM07.EXE
C:\PROGRAMME\DIAMOND\INCONTROL TOOLS 99\DMHKEY.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET G SERIES\BIN\HPODEV07.EXE
C:\PROGRAMME\PLEXTOR\PLEXTOOL.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\FRITZ\FRIFON32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET G SERIES\BIN\HPOEVM07.EXE
C:\WINDOWS\SYSTEM\HPOIPM07.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\ATRACK.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET G SERIES\BIN\HPOSTS07.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET G SERIES\BIN\HPOFXM07.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\EIGENE DATEN\TOOLS\HIJACK THIS\VER 1-99-1\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ZUBEHÖR\SPYBOO~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\stimon.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\SYSTEM\hpoopm07.exe
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton Internet Security\NISSERV.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - Startup: InControl Desktop Manager.lnk = C:\Programme\Diamond\InControl Tools 99\DMHKEY.EXE
O4 - Startup: HPAiODevice.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet G Series\bin\hpodev07.exe
O4 - Startup: PlexTools.lnk = C:\Programme\Plextor\PlexTool.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: FRITZ!fon.lnk = C:\Programme\Fritz\FriFon32.exe
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\JETCAR.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\JETCAR.EXE
O12 - Plugin for .pl/010110A/ZHh4fDYjI3t7eyJoa3Z+fyJoaSNlYnhpfmIjPjw8PSNlYnhpfmJTOSJ8aGo=: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) - http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 217.237.150.225,217.237.150.141

Zitat:

C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll

Diese Datei könnte was damit zu tun habe, ansonsten ist imho nichts ersichtlich. Werte die mal bei Virustotal aus und poste das Ergebnis. Weil sonst nicht viel ersichtlich ist, könnte das was echt böses sein, scan daher auch mal mit Blacklight. Poste davon die Logdatei.
Wenn Du schon den IE nicht updaten lassen willst, solltest Du wenigstens einen Alternativbrowser (Firefox, Opera) verwenden. Ich empfehle Dir aber dringends den IE upzudaten.

Hallo,
ich hoffe mal, dass ich alles richtig gemacht habe. Ich habe die Datei bei
VirusTotal ausgewählt und sie dann gesendet. Im Anschluss wurde ein
Bericht angezeigt.

Bericht:

STATUS: SCANNINGFile "nppdf32.dll" received on 10.30.2006 at 10:17:58 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 7.2.0.34 10.30.2006 no virus found
Authentium 4.93.8 10.30.2006 no virus found
Avast 4.7.892.0 10.27.2006 no virus found
AVG 386 10.27.2006 no virus found


Aditional Information
File size: 103312 bytes
MD5: 12179617805161ee22ceef37699ee4e6
SHA1: 7ef910275de5dafadf299a321951e232d355db73

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.


Die Datei gehört anscheinend zum Acrobat Reader?

PS Blacklight folfg!

BlackLight scheint bei Windows 98SE nicht zu laufen.