Trojaner-Board - Auswertung HiHackThis File

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Auswertung HiHackThis File - Bitte um Hilfe (https://www.trojaner-board.de/7056-auswertung-hihackthis-file-bitte-um-hilfe.html)

Auswertung HiHackThis File - Bitte um Hilfe

Hallo,
ich habe mir beim Surfen so eine fiese Bazille eingehandelt. Das Antivir-Programm hat den Trojaner t2/forten.java.2 gemeldet. Diesen konnte ich zwar löschen, jedoch läuft seither der Internet-Explorer (4.0 unter Win95 !) nicht mehr stabil. Nach einiger Zeit im Internet bleibt der Rechner quasi "stehen" und reagiert nicht mehr.
Ich vermute, daß diverse Dateien bereits verseucht sind.
Ich habe nochmals verschiedene Viren- und Trojanersuchprogramme laufen lassen, jedoch ohne Erfolg.

Nachfolgend das HiJackThis.log-File.

Kann mir bitte jemand helfen ?

Logfile of HijackThis v1.97.7
Scan saved at 22:36:18, on 20.08.04
Platform: Windows 95 B (Win9x 4.00.1111)
MSIE: Internet Explorer v4.72 SP1 (4.72.3110.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PNPCHK.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIKEY32.EXE
C:\WINDOWS\PNPCHK.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\E_S4I0C2.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F1 - win.ini: run=PNPCHK.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiKey] Atikey32.exe
O4 - HKLM\..\Run: [pnpchk] pnpchk.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\SYSTEM\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O11 - Options group: [TB] Symbolleiste
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O13 - WWW. Prefix: http://
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

@Cyber-1

downloade doch mal der aktuellen Version von Hijackthis

chaosman

Hallo Cyber-1,

es wäre nett, wenn Du dem Tip von Chaosman folgen könntest und die neue Version des HijackThis downloadest. Schau mal hier: http://www.trojaner-board.de/51130-a...ijackthis.html

- Dein IE ist nicht auf dem aktuellen Stand. Bitte besuche www.windowsupdate.com.
- Wie Du den IE sicher konfigurieren kannst, erfährst Du hier
- Weitere Tips um sicher im Netz zu surfen findest Du in meiner Signatur unter TI Hijacker-Rubrik ---> Vorbeugung.

bitte fixen in Deinem Logfile:
O13 - WWW. Prefix: http://

Melde Dich bitte wieder mit einem neuen Logfile auf Basis der aktuellen HijackThis-Version v1.98.2.
SD

Hallo

Zitat:

Zitat von Shadowdance

- Dein IE ist nicht auf dem aktuellen Stand. Bitte besuche www.windowsupdate.com.

AFAIK unter Win95 läuft IE6 nicht . Die Mozilla-Browser - auch nicht! (bitte verbessert mich, wenn ich am falschen Stuhl sitze!!!).
Tja, "Was tun? - Sprach Zeus" ;).

Windows 95 ist sicherheitstechnisch für die Internetnutzung eher nicht zu empfehlen.

danke @ Rene-gad !

Ich sah zwar win95 .. aber ich hab nicht dran gedacht, dass der aktuelle IE unter win95 nicht laufen kann. Was macht man in diesem Fall? Ich kenne einige User, die win95 verwenden. Wie hält man diese alten Systeme sicher, wenn man im Netz surfen will?

SD

Wie gesagt, Win 95 würde ich gar nicht mehr einsetzen.

Falls es überhaupt nicht anders geht:
- Bindung der Datei-/Druckerfreigabe an TCP/IP -> DFÜ entfernen
- Opera als Browser / Mailprogramm nutzen, aktuell halten.

Hallo Shadowdance

Zitat:

Zitat von Shadowdance

Ich kenne einige User, die win95 verwenden. Wie hält man diese alten Systeme sicher, wenn man im Netz surfen will?

ich stünde vor 1,5 Jahren zu Euren Diensten mit Win95 ;), allerdings hatte ich damals IE5.5 mit MSO 2000 als Mail-Client und, selbstverständlich, AVPE drauf - nie ein Malware-Problem gehabt. Allerdings: der Begriff "Hijacker" ist nur in den letzten 9-10 Monaten top-aktuell geworden.

@ mmk und @ Rene-gad

herzlichern Dank für Eure Antworten. Daraus können unsere Leser, die win95 verwenden ja bereits einige Information entnehmen. Nun sollte es uns noch gelingen das Logfile von Cyber-1 zu säubern ... vielleicht postet er ein neues Logfile ... dann sehen wir weiter.

Lieben Gruss
SD

"Wie hält man diese alten Systeme sicher, wenn man im Netz surfen will?"

Aus Windows-Sicht kannst du das vergessen, da MS das Betriebssystem und den Browser nicht mehr pflegt. Lücken die gefunden werden, bleiben also bis in alle Ewigkeit offen.

Was du tun kannst:

- Alle unnützen Dienste beenden
- Deinen Virenscanner aktuell halten
- Einen sicheren Mailclienten verwenden
- Nach Möglichkeit auf den Internet Explorer verzichten
- Nach Möglichkeit eine echte Firewall oder einen entsprechenden Hardwareschutz vorschalten
- Regelmäßig den PC auf Malware hin überprüfen

Oder was noch besser ist:

Mit dem PC wirklich nur surfen und sonst nichts weiter machen (nicht mit arbeiten, kein Onlinebanking etc.). Und selbst da könnte es passieren, dass du als "Verteiler" für Malware oder schlimmeres herhalten musst.

Andreas

Danke für den Tip chaosman !

Habe die neue Version des HiJack downgeloaded.

Hoffe, daß mir jetzt jemand helfen kann.

Hier das Ergebnis:

Logfile of HijackThis v1.98.2
Scan saved at 04:20:34, on 21.08.04
Platform: Windows 95 B (Win9x 4.00.1111)
MSIE: Internet Explorer v4.72 SP1 (4.72.3110.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PNPCHK.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIKEY32.EXE
C:\WINDOWS\PNPCHK.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\E_S4I0C2.EXE
C:\WINDOWS\RunDLL.exe
C:\VIRENTOOLS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F1 - win.ini: run=PNPCHK.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiKey] Atikey32.exe
O4 - HKLM\..\Run: [pnpchk] pnpchk.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\SYSTEM\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O11 - Options group: [TB] Symbolleiste
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O13 - WWW. Prefix: http://

@ Andreas

ich hab Deine Antwort jetzt erst gesehen. Herzlichen Dank.
Ich nehme an, dass es immer komplizierter wird, Software zu finden, die mit win95 kompatibel ist.

@ Cyber-1,

Du verwendest ein unsicheres Betriebssystem und einen unsicheren Browser.
Bitte lies die Tips von Rene-gad, mmk und Andreas Ebert.

C:\WINDOWS\PNPCHK.EXE
C:\WINDOWS\SYSTEM\ATIKEY32.EXE
C:\WINDOWS\PNPCHK.EXE
C:\WINDOWS\SYSTEM\E_S4I0C2.EXE

bitte mit dem kostenlosen Online Virenscanner von Kaspersky prüfen.

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

kannst Du fixen

O13 - WWW. Prefix: http://

musst Du fixen

@ liebe Kollegen Security-Fachleute, läuft eScan unter win95?
@ Cyber-1 - auf eigenes Risiko ! kannst Du versuchen den eScan auf Deinem System laufen zu lassen: http://www.trojaner-board.de/showthread.php?t=6083 Du findest die genaue Anleitung im Thread.

Hinweise wie Du sicher surfen kannst und einen dringend zu empfehlenden Browserwechsel (mmk hat - Opera als Browser / Mailprogramm nutzen, aktuell halten vorgeschlagen) findest Du in meiner Signatur unter TI Hijacker-Rubrik ---> Vorbeugung.

Eine Auswahl kostenloser Online-Scan-Programme findest Du in meiner Signatur unter Tipps & Hilfe.

SD

@ shadowdance

Vielen Dank für Deine Tipps ! Die *.exe Dateien sind gemäß kaspersky virenfrei. Gestern traten beim Surfen keine Probleme mehr auf.

Was kann eigentlich passieren, wenn die Sequenz

O13 - WWW. Prefix: http://

nicht gefixt wird ?