hallo!

habe gestern zum ersten mal seit jahren den pc meiner eltern wieder gebootet, mit dem diese ins internet gehen und war extrem schockiert.
alles veraltet und extrem blauäugiges surfverhalten, wie ich finde.

ich habe jetzt den verdacht, dass das ganze nicht mehr vertrauenswürdig ist und würde mich sehr freuen, wenn vielleicht jemand einen schnellen blick auf das log werfen könnte.

ich sauge gerade auch escan, allerdings dauert das bei 56k-modem wohl noch ne gute halbe stunde.

vielen dank bereits im voraus,
martin




Logfile of HijackThis v1.99.0
Scan saved at 12:00:04, on 10.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.surfsaturn.de/srv_src/index.shtml
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F1 - win.ini: run=hpfsched
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\MARTIN´S STUFF#&\VIRENSCANNER\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKCU\..\Run: [AIM] C:\MARTIN´S STUFF#&\PROGRAM\AIM\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\OFFICE\OSA9.EXE
O4 - Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .swf: C:\PROGRAM\PLUGINS\npswf32.dll
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab

nix gegen windows 98se. das os ist meiner meinung nach sicherer als die ganze NT-Reihe (auch sicherer als XP) (nebenbei läuft auf meinem pc mit 1,6GHZ, 40GB Festplatte und 2 DVD-Laufwerken dieses alte OS - und es funktioniert prächtig)
nebenbei ist das log sauber. kannst ja mal escan ausführen und so vorgehen:
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum

hallo chris,

vielen dank erstmal für deine hilfe! da bin ich ja echt froh, dass hjt sauber ist.

ich habe escan durchlaufen lassen. neben drei anscheinend ungefährlichen sachen hat er auch einen DIALER gefunden. das beunruhigt mich sehr, da meine eltern mit modem ins internet gehen.
die entsprechende exe habe ich sicherheitshalber auf einer diskette gesichert, bevor ich sie im abgesicherten modus gelöscht habe. eine systemwiederherstellung hat 98se nicht, oder?

hier die ergebnisse:

Thu Feb 10 13:48:16 2005 => File C:\WINDOWS\erdkunde[traunix,de].exe infected by "not-a-virus:PornWare.Dialer.Intexdial" Virus. Action Taken: No Action Taken.

Thu Feb 10 14:49:24 2005 => File C:\WINDOWS\OPTIONS\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.

Thu Feb 10 15:51:22 2005 => File C:\WINDOWS\OPTIONS\CABS\MODEM\GERMAN\MODEM074\PTSNOOP.EX_ tagged as not-a-virus:FalseAlarm.Symantec.Ptsnoop. No Action Taken.

Thu Feb 10 15:51:24 2005 => File C:\WINDOWS\OPTIONS\CABS\OLS\AOL\AOL40DE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

@todesreiter nein. es hat nur eine registrierungswiederherstellung (einfach im eingabeaufforderung scanreg /restore eingeben und ein älteres datum auswählen)
aber du wirst es auch so sauber kriegen.
lösche die dateien (den dialer wie du schon richtig mitgedacht hast, auf diskette und dann auf der festplatte löschen)
ansonsten:
-verwende einen anderen browser wie firefox oder opera
-windowsupdates alle 2 wochen ausführen

besten dank für deine schnelle antwort.

den dialer habe ich schon gelöscht. ist es da ausreichend, die infizierte datei zu löschen, oder muss ich noch etwas beachten?
soll ich die anderen drei dateien auch entfernen?

firefox ist schon in planung, den benutze ich bei meinem rechner auch.


in diesem sinne nochmal vielen dank und die besten grüße nach bayreuth,
martin

die anderen drei sollteste am besten auch entfernen. man weiß doch nie, was die dateien noch machen.
also, entfernen.
ansonsten ist da nichts mehr zu tun

alles klar. vielen dank!

ist immer wieder erstaunlich, wie schnell und unkompliziert hier geholfen wird. weiter so...

tschöö, martin

Zitat:

Zitat von Chris14

die anderen drei sollteste am besten auch entfernen. man weiß doch nie, was die dateien noch machen.
also, entfernen.
ansonsten ist da nichts mehr zu tun

Die Dateien solltest Du besser nicht löschen, man weiß doch nie, wozu die noch gut sind. Mir erscheinen die jedenfalls nicht ganz unwichtig.

Eins ist jedenfalls ein Modemtreiber, ein anderes hat mit AOL zu tun....

Gruß
Yopie

sie sind für nichts wichtig.
ich liste mal auf was für was ist:
EBD.CAB -> startdiskettenerstellung (unnötig, da der ordner ebd existiert und die daten der cabdatei bereits dorthin extrahiert wurden)
C:\WINDOWS\OPTIONS\CABS\MODEM\GERMAN\MODEM074\PTSN OOP.EX_ -> übriggebliebenes modemsetup. kann gelöscht werden, (ist nur dafür da, wenn man sein modemtreiber aus welchen gründen auch immer neuinstallieren will)
C:\WINDOWS\OPTIONS\CABS\OLS\AOL\AOL40DE.EXE -> das standardkopierte von winme, ist unnötig für jedes system (ich wette das nur 1% das von windows mitgelieferte aol installiert haben, die einen aol-internetzugang haben)