Trojaner-Board - SpywareBlaster und HijackThis starten nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - SpywareBlaster und HijackThis starten nicht (https://www.trojaner-board.de/14626-spywareblaster-hijackthis-starten.html)

SpywareBlaster und HijackThis starten nicht

Hallo
seit ca. einer Woche lassen sich SpywareBlaster und HijackThis nicht mehr starten.(alles schon x-mal neuinstalliert und verschiedene Versionen probiert) Nach kurzem Startversuch kommt nur die Msg Box mit: "unerwarteter Fehler" und der OK Taste.
Spybot - Search & Destroy und Ad-Aware SE Personal sowie alle möglichen Vierenscanner laufen gut und haben nichts zu beanstanden.
Alle anderen Progs und Anwendungen laufen eigentlich normal.
Villeicht hat jemand eine Idee, was da los ist. Will da jemand nicht, dass ich was blocke und mit HijackThis enttarne? Kann ja leider keinen log posten, HijackThis geht ja nicht!

Config:
Win 98 se (alle updates)
Internet über LAN Server
ie6 + Mozilla Firefox

userli

Hey,
schick doch mal ein HiJackThis Logfile; vielleicht sieht man was.
cacatoa

@cacatoa

Zitat:

Zitat von userli

seit ca. einer Woche lassen sich SpywareBlaster und HijackThis nicht mehr starten

Zitat:

schick doch mal ein HiJackThis Logfile;

;)

@userli

Zitat:

seit ca. einer Woche lassen sich SpywareBlaster und HijackThis nicht mehr starten.

Was hast du vor einer Woche installiert, bzw. was hat sich deinerseits geändert?

Zitat:

alles schon x-mal neuinstalliert und verschiedene Versionen probiert

Alte Registry-Einträge sind auch rausgeputzt?

Zitat:

Spybot - Search & Destroy und Ad-Aware SE Personal sowie alle möglichen Vierenscanner laufen gut

Wieviele Virenscanner hast du? Welche?
Laienfrage: Ist die letzte Version von HJT unter Win98 lauffähig?

Zitat:

Zitat von Rene-gad

Laienfrage: Ist die letzte Version von HJT unter Win98 lauffähig?

Diese Frage kann ich definitiv mi JA beantworten.

@userli
hast Du es auch schon mal im abgesicherten Modus versucht?

OH - MEIN - GOTT :headbang: :headbang: :headbang: :headbang: :headbang:
Ich glaub es ist Zeit zu gehen, ich werde alt......
cacatoa

@cacatoa
logfile schicken wäre schön genau das ist das Problem
und überprüfen bei http://www.malwareupload.com/ ist zwar gut, aber dazu braucht man erst mal eine verdächtige Datei - habe leider noch keine ins Auge gefasst.

@Rene-gad
gute Frage was installiert und weggeschmissen wurde, also ich versuche mal alles zusammenzubekommen.
Norton AntiVirus Corporate Edition (Firmennetzwerk) ist das aktive Vierenprogamm

getestet hatte ich e-scan ; sophos Testversion ; AntiVir® Personal Edition
und den Symantec Security Check auf www.symantec.de/ gemacht -- eigentlich alles OB und auf

http://de.trendmicro-europe.com/cons...secall_pre.php
war zwar alles grün aber der online Check ging nicht los - habe dann irgendwann abgebrochen.

also alles was so Freeware oder Demo schnell zu finden war

irgendeiner der Progs hatte eine Trojaner exe in C: !! gefunden und entfernt, weis aber den Namen der exe nicht mehr und bin davon ausgegangen, dass der Trojaner noch nicht installiert war.

installiert war noch a²

mit AntiVir® lief alles noch der PC ließ sich jedoch nicht mehr runterfahren, musste erst AntiVir manuell beenden ; da war aber mit Spywareblaster alles noch iO

zur Registry: habe eigentlich alles suchen lassen und eindeutige Einträge von Spywareblaster und Spyboot entfernt -- Spybot - Search & Destroy ließ sich dann auch wieder installieren und aktuallisieren alles OB

SpywareBlaster und HijackThis bleiben tot.

vor meiner Anfrage hier hatte ich alle Scanner und nicht wichtigen Progs deinstalliert und die Registry bereinigt - keine Änderung (und deshalb jetzt keine Ahnung mehr alles beim Namen zu nennen)
Auch IE und Java runtergeschmissen und kpl. neu installiert

hatte sonst immer mal meinen Logfile von HijackThis automatich auswerten lassen - war bis dato nichts Auffälliges

@Lutz
auch im abgesicherten Modus genau das selbe
nur diese beiden Anwendungen bringen Fehlermeldung sonst iO

hoffe mit diesen Aussagen noch ein paar Tips zu bekommen
Dank im Voraus

userli

Ich mach noch mal mit:
In welchem Ordner befindet sich HiJackThis?
cacatoa

@cacatoa
"In welchem Ordner befindet sich HiJackThis?"

habe als exe und als com in C: ; in Eigene ; und in C:/0000/hijackthis_199 probiert geht nirgends

Leg´s mal auf D:\ (wenn vorhanden) oder brenn es auf CD und start von da.
cacatoa

@cacatoa
@all
SpywareBlaster und HijackThis starten wieder :crazy: :crazy: :crazy:
der Tip mit der CD klappte leider auch nicht.
Ich glaube, ich habe den Übeltäter gefunden : Alcohol 120% mit Crack
hatte das Programm nur installiert und noch nie ausgeführt, aber vielleicht war da auch jemand an meinem Rechner. Egal, nach dem Löschen (deinstallieren ging nicht mehr) des Ordners "Alcohol" ging alles wieder. Muss jetzt noch die Reg durchforsten.

Hab gleich mal ein Log File erstellt - könnt ja mal drüberschauen
erst einmal vielen Dank an alle die hier helfen und versuchen zu helfen

Logfile of HijackThis v1.99.1
Scan saved at 08:45:39, on 02.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\SPOOL32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\WIN98\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\WIN98\EXPLORER.EXE
C:\WIN98\SYSTEM\RPCSS.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\VPTRAY.EXE
C:\WIN98\RUNDLL32.EXE
C:\WIN98\SYSTEM\SYSTRAY.EXE
C:\HW\ATI\ATIDESK\ATISCHED.EXE
C:\WIN98\SYSTEM\ATITASK.EXE
C:\WIN98\TASKMON.EXE
C:\WIN98\SYSTEM\ATICWD32.EXE
C:\WIN98\HPLRA.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\WIN98\SYSTEM\WMIEXE.EXE
C:\WIN98\SYSTEM\DDHELP.EXE
C:\WIN98\NOTEPAD.EXE
C:\0000\HIJACKTHIS_199\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.xxx.xxx.1:yyyy;gopher=localhost:1;http=192.xxx.xxx.x:yyyy;https=192.xxx.xxx.x:yyyy;socks=192.xxx.xxx.x:yyyy
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O4 - HKLM\..\Run: [vptray] C:\Programme\Norton AntiVirus\vptray.exe
O4 - HKLM\..\Run: [ICSDCLT] C:\WIN98\rundll32.exe C:\WIN98\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [ScanRegistry] C:\WIN98\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ATI Scheduler] C:\HW\ATI\ATIDESK\ATISched.EXE
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WIN98\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WIN98\taskmon.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [RegAgent] C:\WIN98\HPLRA.EXE
O4 - HKLM\..\RunServices: [AVM KEN] C:\Programme\KEN!\KENCLI.EXE
O4 - HKLM\..\RunServices: [rtvscn95] C:\Programme\Norton AntiVirus\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\Programme\Norton AntiVirus\defwatch.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WIN98\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TeaTimer.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O16 - DPF: {CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA} (Java Plug-in 1.3.1_15) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab

Hi, userli,
na also.
Das hier mit HJT im abgesicherten Modus fixen:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = ftp=192.xxx.xxx.1:yyyy;gopher=localhost:1;http=192 .xxx.xxx.x:yyyy;https=192.xxx.xxx.x:yyyy;socks=192 .xxx.xxx.x:yyyy
O16 - DPF: {CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA} (Java Plug-in 1.3.1_15) -
Dann poste ein neues Logfile und es sollte gut sein.
Du gehst über AOL ins Netz, oder?
Grüße in die Schweiz!
cacatoa

Hallo
@cacatoa
die letzten beiden Anmerkungen musst du mir mal erklären,
schick mal eine PM
Habe noch mit Norton SystemWorks ein bischen repariert, geht alles wieder.
Wenn SpywareBlaster nicht mehr geht, merkt man erst wieviel da normalerweise geblockt wird. :)

Nun zum Log:
Der zu fixende R1 Eintrag wurde von mir so verändert, da standen meine ganzen Proxyeinstellungen.

Userli

Hi,
wenn du den Eintrag selbst verändert hast, ist es natürlich o.k.
Das hier:
C:\WIN98\HPLRA.EXE
kenne ich nicht. Bitte mal bei "Malware-Upload" (siehe meine Signatur) abchecken lassen und das Ergebnis posten.
PM ist geschickt.
cacatoa