frage
 

Hallo leute,
Ich bin neu in diesem Forum von daher weiß ich nicht genau ob es hier hin passt.
Ich habe den link (http://virusscan.jotti.org/) hier gefunden
Da habe ich eine frage zu der Auswertung die sieht bissel merkwürdig aus:
Service load: 0% 100%

Status: Ready for upload
Statistics
Last piece of malware found was Trojan.DownLoader.1624 in eied_s7.cab, detected by:

Scanner Malware name Time taken
AntiVir X 0.17 seconds
Avast X 1.51 seconds
AVG Antivirus X 0.80 seconds
BitDefender X 0.37 seconds
ClamAV X 0.44 seconds
Dr.Web Trojan.DownLoader.1624 0.55 seconds
F-Prot Antivirus X 0.07 seconds
Fortinet X 1.23 seconds
Kaspersky Anti-Virus X 1.61 seconds
mks_vir X 0.21 seconds
NOD32 X 0.40 seconds
Norman Virus Control X 0.63 seconds


Ist das alles so rechtens?

@Napo
Hast du an deinem PC gar kein Antivirus-Programm? Wenn <Ja> - was hat es zum Thema zu sagen?

Ja AntiVir hab ich ;-) wollt aber nur mal wissen was das da unten bedeutet :-( und eScan geht bei mir nicht der will net updaten schade

@ Napo
Das was du von Jotti gepostet hast, hat mit Deinem Rechner gar nichts zu tun.
Das beschreibt nur die letzte Malware, die von Jotti mal entdeckt wurde.
Dein Ergebnis hast Du in 10-zeiliger Form dann, wenn Du den Jotti-scan auch ausgeführt hast.
cacatoa
Edit: Kasperssky hat immer noch Server-Probs. dEshalb geht das Update nur schwer.

Kostet der Jotti-Scan was?

Ja, etwas Zeit... ;)

Okay habs rausgefunden wies geht ;-) schade ist nur das man files nur testen kann fuer was ist das ding da genau gut?

Na, ja, da kannst du rausfinden, ob bestimmte files, die Dir/uns "komisch" vorkommen, mit Malware infiziert sind.

Hab gerade dein Logfile angeschaut:
Im abgesicherten Modus fixen:
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/Ige9QCTIOn9u94...m::/on-line .exe
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O18 - Filter: text/html - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)
O18 - Filter: text/plain - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)
Dann neues Logfile hier reinposten.

Danke fuer deine hilfe cacatoa.
Nun bin ich wieder schlauer geworden :huepp:

hm der abgesicherte modus startet bei mir mit strg nicht?
hab Windows 98

Abgesicherter Modus auch für Win 98 (F5).

So werd ich gleich mal testen. escan geht nun die log davon ist:
Sat Feb 05 18:02:23 2005 => ***** Scanning complete. *****

Sat Feb 05 18:02:23 2005 => Total Number of Files Scanned: 5523
Sat Feb 05 18:02:23 2005 => Total Number of Virus(es) Found: 2
Sat Feb 05 18:02:23 2005 => Total Number of Disinfected Files: 0
Sat Feb 05 18:02:23 2005 => Total Number of Files Renamed: 0
Sat Feb 05 18:02:23 2005 => Total Number of Deleted Files: 0
Sat Feb 05 18:02:23 2005 => Total Number of Errors: 1
Sat Feb 05 18:02:23 2005 => Time Elapsed: 00:09:35
Sat Feb 05 18:02:23 2005 => Virus Database Date: 2005/02/05
Sat Feb 05 18:02:23 2005 => Virus Database Count: 117251

Sat Feb 05 18:02:23 2005 => Scan Completed.


Viruse:
File C:\WINDOWS\SYSTEM32\delaybuf.dll infected by "Trojan-Downloader.Win32.Small.agb" Virus. Action Taken: File to be deleted on reboot.
File C:\WINDOWS\TWAIN_32\stdsc\unreg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Das war kein vollständiger Scan.
Beim Starten anclicken:
Scan all local drives und
scan all files
Der komplette scan dauert ca. 1 Stunde!
cacatoa

Ja er hatte nur glaube ich C:\ gescant. (vermute ich)
Aber wie krieg ich die 2 runter? einfach loeschen?

Erstens:
einfach löschen. (Abesicherter Modus)
Zweitens:
Der zweite ist keine Malware!!!
tagged as not-a-virus:Tool.Win32.Reboot.
cacatoa

so fuer den abgesicherten modus drüecke ich f5
Weil ich Bot magic habe oder wie das heißt fuer 2 systeme druecke ich es dann, wenn da z.b steh 1. Windows 98
F5 geht aber dann muss ich irgenwas eingeben?
Es kommt dann da:
c:\> oder so bin etwas verwirrt hab damit noch nie gearbeitet.

Hier findest Du Antwort...
cacatoa

hm komisch da steht auch nix was ich dann da eingebe.
Und hab es mit den häkchen gemacht wenn ich dann wieder "Normal" moechte kommt ein fehler ich soll windows neu installieren :-(

Dann würde ich dir mal empfehlen, die Seite weiter nach unten zu scrollen. Wieviel mehr Beschreibung für Win 98 willst Du noch? Wenn es nicht reicht, dann auch mal Tante Google fragen.... ;)
cacatoa

Ich hab alle schritte gemacht die da stehen.
Nur der will das ich da was eingebe windows startet er nicht im abgesichertem modus hab ich so das gefuehl

Dann scroll doch (außer googlen) mal die Seite ganz runter, da findest du den Menü-Punkt Multi-Boot-System. Einfach mal anclicken...
cacatoa

hm da versteht man nur bahnhof oder ich bin dazu zu dumm?

Bist du bestimmt nicht... ;)
aber jetzt solltest du wirklich mal bei google schauen; ich bin kein 98er.....

So leicht will das gefuehl nicht weg das er nur dos startet?

@cacatoa aber ich. ich habe mich eine seehr lange zeit mit dos und windows 9x beschäftigt (auch mit den 16bit-versionen)

@napo wenn das der fall ist, wäre es auch möglich, zuerst in die eingabeaufforderung (F5) zu gehen. dann win.com /D:M eingeben und schon biste im abgesicherten modus. wenn du normalen modus willst: win.com

@ chris:
Danke Dir, Du hast mir eine Menge Zeit gespart... ;)
cacatoa

danke chris14 ich werde es gleich mal ausprobieren obs geht ;-)

Juhu komme nun im abgesichertem modus danke nochmal dafuer nur jetzt tritt ein anderes Problem auf.
Wenn ich wieder ganz normal starte (im normalem modus) dann will er mir weiß machen das die windows configuration ungueltig ist? ein kleiner auszug aus der fehlermeldung:
"Ungueltiger Dynamic-link in gerät 7 oder so usw."
Kommte nicht alles so schnell mitschreiben ;-)
Nun das Problem ist relativ.
Die andere frage ist nun wie fixe ich das was ich da mit hijackthe... aufgelistet gekriegt habe, sagtest du doch cacatoa ich soll es im abgesichertem modus fixen was muss ich da genau tun?

interessant. das hört sich für mich nach einem beschädigten treiber an.
du musst nur vor die genannten einträge einen haken machen und auf fix it klicken.
du solltest übrigens mal in den geräte-manager schaun und posten, ob ein gerät ein rotes kreuz oder ein gelbes hat..
(geht so: rechtsklick auf arbeitsplatz,eigenschaften,geräte-manager)

Nach dem scan die von mir beschriebenen Punkte anclicken und unten auf "fix checked" clicken.
cacatoa

So ersteinmal komme zu zu den ergebnis von hijack:

Logfile of HijackThis v1.99.0
Scan saved at 17:28:14, on 05.02.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\PROGRAMME\NEOLEC FREESTYLER CLK\CM98.EXE
C:\PROGRAMME\NEOLEC FREESTYLER CLK\KTREXE.EXE
C:\WINDOWS\RSRCMTR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINCMD\WINCMD32.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\ZONEALARM\ZLCLIENT.EXE
C:\BASES\KAVUPD.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\TMP\$WC0\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boese-woerter.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O2 - BHO: (no name) - {771ACC01-6B79-11D9-8A02-0030FB52F277} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\NEOLEC FreeStyler CLK\cm98.exe
O4 - HKLM\..\Run: [Start RF Wireless Keyboard] C:\Programme\NEOLEC FreeStyler CLK\ktrexe.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SmartPCXL] "D:\PROGRAMME\PC ACCELERATOR 2004\pcaccel.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Ressourcen-Anzeige.lnk = C:\WINDOWS\RSRCMTR.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/Ige9QCTIOn9u94v...::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O18 - Filter: text/html - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)
O18 - Filter: text/plain - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)
// EDIT //
Habe das gefuehl das es alles noch so da steht wie vorher?

Hab das gemacht was du gesagt hast
Nun zum Gerätemenager
Ich sehe da kein rotes kreuz oder sonstirgendwas...

ok jetzt gehen wir wieder zum regularprogramm über..
also dass:


1.einträge löschen
-fixe mit hijackthis diese einträge:
O2 - BHO: (no name) - {771ACC01-6B79-11D9-8A02-0030FB52F277} - (no file)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/Ige9QCTIOn9u94...m::/on-line .exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/Ige9QCTIOn9u94...m::/on-line .exe
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O18 - Filter: text/html - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)
O18 - Filter: text/plain - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)


2.dateien löschen
-lösche die dateien foo.mht, ied_s7.cab und x.cab im ordner c:\
-lösche die datei delaybuf.dll im ordner c:\windows\system
-leere den papierkorb
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

3.ergebnisse
-poste ein neues hijackthis log

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boese-woerter.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\NEOLEC FreeStyler CLK\cm98.exe
O4 - HKLM\..\Run: [Start RF Wireless Keyboard] C:\Programme\NEOLEC FreeStyler CLK\ktrexe.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Ressourcen-Anzeige.lnk = C:\WINDOWS\RSRCMTR.EXE
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

So nun zu den dateien loeschen ich hab alle dateien gesehen aber die waren nicht aufzufinden...
Kann es sein das die dabeien schon von ein Virenprogramm geloescht wurde?

das log ist nun endlich sauber.
gibt es noch probleme?

jap mit der fehlermeldung wenn ich windows starte

Ich hatte es gemacht wie es hier steht. mit den haken beim autostart und seit dem kommt das... hab ihn aber vorhin wieder weggemacht.
Aber die fehlermeldung kommt trotzdem noch...

hm ja...
da schlage ich dir vor, in dos zu gehen (eingabeaufforderung)
gib dort scanreg /fix ein.
starte neu wenn er fertig ist, und poste ob der fehler behoben ist.
achja..
starte nachdem du neugestartet hast, msconfig
dort machste den haken von autostart-menü aktivieren weg.
dann sollte es wieder gehen.

Nein geht leider nicht.
der haken bei autostart hatte ich vorhin schon weggemacht.
würde es vieleicht was bringen wenn ich die wincmd.ini vom 2. system nehme und die auf dem 1. system lade?

ne das gehört zum windows commander. die macht überhaupt nix die datei.
es gäbe eine noch riskantere möglichkeit..
die registrierungssystemwiederherstellung auch genannt registrierungsprüfung.
in die eingabeaufforderung gehen, scanreg /restore eingeben.
dort musst du das näheste datum auswählen.
starte neu, und poste ob der fehler behoben ist.
achja und noch ein hinweis: alle einträge die mit hijackthis gefixt wurden, sind wieder da, die trojaner aber gelöscht.

Nein es brachte auch kein gutes ergebnis.
Der grund wird da liegen weil ich nichts auswählenkonnte stande nix da die win.ini ist doch fuer die windows konfiguration zuständig oder welche file? Als fehler steht ja da die Windows konfiguration ust ungueltig.
Meine idee wäre die windows konfiguration vom 2. system im 1. system zu ueberschreiben (abgesichertem modus)

blos nicht. nicht jeder computer hat die gleiche hardware. wenn die falsche hardware drin ist, oder ein paar dlldateien fehlen, dann haste den salat (fehlermeldung über fehlermeldungen)
in der win.ini stehen nur unwichtigere angaben. die wichtigsten dateien sind nach wie vor user.dat, system.dat und system.ini
allerdings darfste die net mit der anderen ersetzen..
mir fällt ein letzter lösungsweg ein, der aber die gesamte konfigurations so zurücksetzt, dass du den stand einer gerade erstellten neuinstallation hast. du musst dann alle treiber einrichten, internet usw.
alle einträge die je gemacht wurden sind weg, alle programme die installiert wurden und registrierungseinträge benötigen müssen neuinstalliert werden.
dann beginne ich mal:
-gehe in die eingabeaufforderung (f5)
-gebe cd windows ein
-gebe attrib -r -s -h system.dat ein
-gebe attrib -r -s -h user.dat ein
-gebe cd sysbckup ein
-gebe extract /e rb000.cab *.* ein
-gebe attrib -r -s -h system.dat ein
-gebe attrib -r -s -h user.dat ein
-gebe copy *.* c:\windows ein (die darauffolgenden meldungen mit J bestätigen)

wie schon gesagt; extrem riskant und ähnlich einer neuinstallation.

Die 2 systeme liegen ja auf 1 pc so dürfen doch nicht fehlermeldungen ueber fehlermeldungen kommen?
Was wuerdest du nun vorschlagen?

nur not kann ich ja neu booten mit ghost wenn das net gehen sollte ;-)
Ich teste es mal

welche betriebssysteme hast du nochmal?
wenn es win95 und 98 ist, solltest du das lieber lassen.
du hast sonst zwei 95er.. (er lädt ja dann die dateien von win95 partition und dann sind manche dateien inkompatibel - ein spiel mit dem feuer meiner meinung nach)
allerdings wenn es 2 win98er sind dann darfst du die systemdateien kopieren

So danke dir erstmal!
Habe es so gemacht wie du gesagt hast und fehler ist weg aber jede hardware geht noch?
Internet geht auch noch wie du siehst hm...

oh dann hast du glück^^
offenbar hast du gleich eine gute konfiguration bekommen.
naja glückwunsch. du kannst dir eigentlich recht sicher sein, dass kein hijacker oder sonstiges da ist.
nun sollst du nachsorge treffen:
-verwende einen anderen browser wie firefox
-verwende den IE nur für die windowsupdates

So hijack.. zeigt wieder die gleiche config an muss ich wohl nochmal verbessern ;-) wenn du sie nochmal sehen moechtest:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boese-woerter.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O2 - BHO: (no name) - {771ACC01-6B79-11D9-8A02-0030FB52F277} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\NEOLEC FreeStyler CLK\cm98.exe
O4 - HKLM\..\Run: [Start RF Wireless Keyboard] C:\Programme\NEOLEC FreeStyler CLK\ktrexe.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SmartPCXL] "D:\PROGRAMME\PC ACCELERATOR 2004\pcaccel.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Memcharge] "D:\PROGRAMME\PC ACCELERATOR 2004\mem.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Ressourcen-Anzeige.lnk = C:\WINDOWS\RSRCMTR.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/Ige9QCTIOn9u94v...::/on-line.exe
O18 - Filter: text/html - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)
O18 - Filter: text/plain - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)

Ist/war x.cab ein wurm oder was soll/sollte die datei bezwecken?

aha da läuft der hase lang.
du hast nun die vor autostart konfiguration.
wie das passiert ist, dass er es in rb000.cab speichert, kA
allerdings ist das gut.
die 1.cab sollte als bho dienen, die immer mal beim IE seiten anzeigt.
du solltest nur mal eben die einträge fixen:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/Ige9QCTIOn9u94...m::/on-line .exe
O18 - Filter: text/html - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)
O18 - Filter: text/plain - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)
poste dann mal ein neues hijackthis log, obwohl die einträge irgendwie "deaktiviert" sind

So nun muesste alles richtig sein:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boese-woerter.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\NEOLEC FreeStyler CLK\cm98.exe
O4 - HKLM\..\Run: [Start RF Wireless Keyboard] C:\Programme\NEOLEC FreeStyler CLK\ktrexe.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SmartPCXL] "D:\PROGRAMME\PC ACCELERATOR 2004\pcaccel.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Memcharge] "D:\PROGRAMME\PC ACCELERATOR 2004\mem.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Ressourcen-Anzeige.lnk = C:\WINDOWS\RSRCMTR.EXE
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

Ich frag mich was die andern einträge da gesucht haben wenn sie eh nicht gehen *gg*
Was sind das ueberhaupt fuer einträge?

das log ist nun sauber und der fehler entfernt.
mit der frage.. meinst du die jetzigen einträge oder die gerade entfernten?^^

na ueberhaupt das alles ;-)
Sind das registry einträge?
und ScanRegistry kann doch aus dem autostart raus oder sehe ich das falsch?

ok, jetzt gehen wir langsam ins windows-tuning über^^
das kann nehmen wie man will. der regscanw ist sozusagen dazu da, täglich registrierungsbackups zu erstellen. ohne ihn wäre die rettung nicht gelungen. du kannst es rausmachen, beeinflusst die systemstabilität nicht. allerdings halte ich es für ratsam, wenn du es entfernst, alle 2wochen regscanw bei ausführen einzugeben und damit die registrierungsdateien zu sichern.
das ganze was hijackthis da anzeigt, sind die laufenden prozesse (alle progs die grad offen sind), die browserhilfsobjekte (searchbars, trojan-downloader bars, aber auch gute wie die google-search), autostart, buttons im ie (realplayer und so), dpf sind die activex runtergeladenen module (ist auch bei windowsupdate auch so, der muss ja was installieren, dass er die updateseite auf updates ansprechen kann)
alles in allem: registrierungseinträge und laufende programme eben ;)

okay danke fuer deine hilfe.
Deine hilkfe war echt super!
Dafuer ein lob von mir ;-)
Selten sieht man so nette boards wo man so eine hilfebekommt!
Ich lass nochmal escan durchlaufen um auch die letzten viren zu entfernen ;-)
Hm ob ich die leistung vom pc irgendwie verbessern kann ohne pc aufzuruesten?
Ich glaub mal nicht aber vieleicht weißt du da auch ja was ;-)

hm ja....
www.windows-tweaks.info sind sehr nette tuningtipps drin.

danke danke.
Ich wuerde sagen hiermit ist das Thema beendet?

bei google nach windows 98 tuning suchen kommt auch viel nützliches.
ja wenn du keine fragen mehr hast, dann ja er is abgeschlossen ;)

Hast du ICQ oder sowas?
Wenn ja und es dir nichts ausmacht kannst du mir ja mal die nummer geben.

hab dir per PN geschickt^^