Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner und/oder Dialer auf W98 Rechner?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 13.03.2007, 18:31   #1
wimmie
 
Trojaner und/oder Dialer auf W98 Rechner? - Standard

Trojaner und/oder Dialer auf W98 Rechner?



Hi Liebes Forum,

ich soll einen W98 Rechner der offenbar verseucht ist wieder flott machen und habe wie vermutlich einige Hilfesuchende hier wenig Ahnung von der Materie. Vielleicht kann mir jemand einen Rat geben? Ich hoffe ich beachte die Regeln bei der kurzen Zeit die ich hier angemeldet bin. Hier ein Logfile aus dem hoffentlich das Übel (bzw. hoffentlich ist es kein Übel) zu ersehen ist:

Logfile of HijackThis v1.99.1
Scan saved at 19:05:06, on 13.03.07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\OEMCFOS2\CFOSOEMD.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAAA.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\SYSMON.EXE
C:\WINDOWS\ANWENDUNGSDATEN\FARETORACI\SYSVMTRS.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\XPUPDATE.EXE
C:\WINDOWS\OEMCFOS2\CFNDIS.EXE
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NSCHED32.EXE
C:\PALM\HOTSYNC.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSTS08.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.9\18.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\UNZIPPED\HIJACKTHIS_199\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
F1 - win.ini: run=C:\WINDOWS\OEMCFOS2\cfosoemd.exe
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\wmbehnsen\prefs.js)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O4 - HKLM\..\Run: [euoai] C:\WINDOWS\Anwendungsdaten\faretoraci\sysvmtrs.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: AOL 6.0 Tray Icon.lnk = C:\AOL 6.0\aoltray.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Norton Program Scheduler.lnk = C:\Programme\Norton AntiVirus\NSCHED32.EXE
O4 - Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O4 - Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: www.extremeaccess.info
O15 - Trusted Zone: www.contentdiscount.info
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.softlab.name
O15 - Trusted Zone: www.adslconnection.name
O15 - Trusted Zone: www.xxx-content.name
O15 - Trusted Zone: *.Ýìæ×ÒÒÆÄÆÈØæ¡—×ÔÕËÓîîô
O15 - Trusted Zone: *.ÒÝâÙÓâØÍÜÖÒäã⢗×ÔÕËÓîîô
O15 - Trusted Zone: www.whatsnew.name
O15 - Trusted Zone: www.nodialup.name
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.114.82,85.255.112.168
O21 - SSODL: bcaKKtBcDj - {221D16DD-88B7-BC77-A088-7B4A5AA48E40} - C:\WINDOWS\SYSTEM\KBVRY.DLL
O21 - SSODL: bcaKKtBcDj - {221D16DD-88B7-BC77-A088-7B4A5AA48E40} - C:\WINDOWS\SYSTEM\KBVRY.DLL

Ich würde mich freuen, wenn sich jemand hierzu äussern könnte und ich hoffe, es besteht noch Hoffnung auf "schnelle" Rettung dieses Systems!

Lieben Gruß und besten Dank im Vorwege!!!

Gruß,
Wimmie

Alt 13.03.2007, 19:15   #2
Franz1968
/// Helfer-Team
 
Trojaner und/oder Dialer auf W98 Rechner? - Standard

Trojaner und/oder Dialer auf W98 Rechner?



Hallo,
auf diesem Rechner hat sich einiges an Spy- und Adware versammelt, ferner zumindest ein Trojaner
Zitat:
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
die berüchtigte DNS-Server-Umleitung über die Ukraine
Zitat:
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.114.82,85.255.112.168
und ein paar Einträge, die ich nicht deuten kann, die aber fast sicher auch auf Schadsoftware zurückgehen (da im Internet nichts über die Dateinamen zu finden ist)
Zitat:
O21 - SSODL: bcaKKtBcDj - {221D16DD-88B7-BC77-A088-7B4A5AA48E40} - C:\WINDOWS\SYSTEM\KBVRY.DLL
O21 - SSODL: bcaKKtBcDj - {221D16DD-88B7-BC77-A088-7B4A5AA48E40} - C:\WINDOWS\SYSTEM\KBVRY.DLL
Meiner Ansicht nach ist eine saubere Neuinstallation und anschließende Absicherung das Mittel der Wahl. Ich bin nicht sicher, ob eine Bereinigung möglich ist; vielleicht mag sich jemand dazu äußern. Tut mir leid, dass ich dir nichts Einfacheres empfehlen kann.
__________________

__________________

Alt 13.03.2007, 19:16   #3
myrtille
/// TB-Ausbilder
 
Trojaner und/oder Dialer auf W98 Rechner? - Standard

Trojaner und/oder Dialer auf W98 Rechner?



EDIT: zu schnell und wahrscheinlich falsch


Es ist dennoch leichtsinnig mit einem ungepatchten System ins Netz
zu gehen.

Lasse bitte auch noch folgende Dateien auswerten:
Zitat:
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O4 - HKLM\..\Run: [euoai] C:\WINDOWS\Anwendungsdaten\faretoraci\sysvmtrs.exe
Den ersten Eintrag musst du suchen und er ist wahrscheinlich harmlos, ich möchte nur auf Nummer sicher gehen.
__________________

Geändert von myrtille (13.03.2007 um 19:27 Uhr)

Alt 13.03.2007, 19:54   #4
Berferd
 
Trojaner und/oder Dialer auf W98 Rechner? - Standard

Trojaner und/oder Dialer auf W98 Rechner?



Hallo,

besorge dir dringend ein neueres Betriebssystem.
Für Windows 98 gibt es längst keine Sciherheitsupdates mehr!

Du kannst das System bereinigen, aber ich würde gleich ein neueres System installieren.

Gruß
Oskar

Alt 13.03.2007, 21:04   #5
wimmie
 
Trojaner und/oder Dialer auf W98 Rechner? - Standard

Trojaner und/oder Dialer auf W98 Rechner?



Schon einmal vielen Dank für die Hinweise!! Eine Änderung des Betriebssystems ist zunächst nicht möglich, deshalb meine Frage, ob da noch was zu retten ist und wenn ja, ob ich das mit dem HijackThis allein bewerkstelligen kann oder ob für mich als "Nobody" komplizierte Eingriffe getätigt werden müssen ?

Nochmals Dank für die Unterstützung! So ein Forum ist unbezahlbar!!

Gruß,
Wimmie


Alt 14.03.2007, 09:25   #6
Berferd
 
Trojaner und/oder Dialer auf W98 Rechner? - Standard

Trojaner und/oder Dialer auf W98 Rechner?



Hallo,

nun, dein System scheint ziemlich kompromitiert zu sein.
Da ist es mit HijackThis alleine nicht getan.

Wenn du bei Windows 98 bleiben willst, ist eine Neuinstallation wahrscheinlich schneller getan.

Normalerweise sollte man hier im Forum den Support für Win95/98 verweigern.
Mit diesem Betriebssystem ins Internet zu gehen ist grob fahrlässig. Es gibt keine Sichereheitsupdates mehr, man kann das System nur mit entprechenden Aufwand absichern und dann auch nur begrenzt.
Da ist es nur eine Frage der Zeit bis man mit der Bereinigung/Neuinstallation wieder anfangen darf.

Ich würde davon deshalb dringend abraten!

Wenn du immer noch eine Säuberung versuchen willst, melde dich noch mal.


Gruß
Oskar

Alt 17.03.2007, 17:53   #7
wimmie
 
Trojaner und/oder Dialer auf W98 Rechner? - Standard

Trojaner und/oder Dialer auf W98 Rechner?



Hallo Berferd,

danke für die Antwort. Ich denke auch, dass es mit W98 bestimmt nicht empfehlenswert ist weiterzusurfen, aber in diesem Falle lässt sich das leider nicht vermeiden. Deshalb meine Frage, ob es überhaupt ohne größere Umstände möglich ist, diesen Rechner wieder flott zu kriegen (mit Hijackthis ??) ?

Vielen Dank für die Hilfe, denn ich hab (noch) keinen Plan!

Gruß,
Wimmie

Antwort

Themen zu Trojaner und/oder Dialer auf W98 Rechner?
antivirus, button, dateien, digital, explorer, forum, fritz!, hijack, hijackthis, internet, internet explorer, links, logfile, microsoft, office, programme, rechner, registry, rundll, rundll32.exe, software, system, trojaner, update, wenig ahnung, windows, windows update



Ähnliche Themen: Trojaner und/oder Dialer auf W98 Rechner?


  1. Unsicher ob GVU-Trojaner (oder ähnliches) noch auf dem Rechner ist oder ob dieser entfernt wurde.
    Mülltonne - 29.01.2015 (0)
  2. EXP/Pdfka.QG habe ich ein Virus oder Trojaner auf dem Rechner?
    Plagegeister aller Art und deren Bekämpfung - 25.11.2011 (1)
  3. Trojaner oder anderer Virus auf dem Rechner?
    Plagegeister aller Art und deren Bekämpfung - 19.06.2009 (5)
  4. Ich glaube ich habe Trojaner oder andere Schädlinge auf dem Rechner..
    Log-Analyse und Auswertung - 03.06.2009 (1)
  5. Trojaner auf dem Rechner ++ Entfernen oder Formatieren?
    Log-Analyse und Auswertung - 18.07.2007 (4)
  6. Italienischer Dialer oder so ?
    Plagegeister aller Art und deren Bekämpfung - 08.12.2006 (4)
  7. Hilfe ! Dialer oder nicht Dialer ?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2006 (1)
  8. HILFE!! Italienischer Dialer oder so was
    Plagegeister aller Art und deren Bekämpfung - 26.02.2006 (5)
  9. Habe einen Trojaner oder Dialer auf dem PC!!
    Plagegeister aller Art und deren Bekämpfung - 29.11.2005 (13)
  10. Gefährlicher Dialer, oder was?
    Plagegeister aller Art und deren Bekämpfung - 26.05.2005 (4)
  11. Habe Dialer oder etwas anderes :(
    Log-Analyse und Auswertung - 28.04.2005 (6)
  12. kann ein dialer eine falsche ip oder einwahlnr. vortäuschen?
    Plagegeister aller Art und deren Bekämpfung - 06.01.2005 (6)
  13. ====> Dialer Problem oder wie ? <====
    Plagegeister aller Art und deren Bekämpfung - 08.12.2004 (5)
  14. problem mit dialer oder weis was ich!
    Plagegeister aller Art und deren Bekämpfung - 03.11.2004 (5)
  15. Dialer oder Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 11.10.2004 (4)
  16. Dialer nutzte ActiveX oder Script
    Plagegeister aller Art und deren Bekämpfung - 29.08.2003 (4)
  17. Spyprogramm oder Dialer...?
    Netzwerk und Hardware - 15.01.2003 (4)

Zum Thema Trojaner und/oder Dialer auf W98 Rechner? - Hi Liebes Forum, ich soll einen W98 Rechner der offenbar verseucht ist wieder flott machen und habe wie vermutlich einige Hilfesuchende hier wenig Ahnung von der Materie. Vielleicht kann mir - Trojaner und/oder Dialer auf W98 Rechner?...
Archiv
Du betrachtest: Trojaner und/oder Dialer auf W98 Rechner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.