Hallo,

ich bin zum ersten mal in so einem Forum unterwegs und suche dringend Hilfe.

Ich habe einen alten Lidl rechner mit Windows 98 und irgendwie glaube ich, habe ich mir einen Trojaner eingefangen.

Habe schon viel im Forum gelesen. Immer wieder wird gesagt das man das System neu aufsetzen soll, um sicher zu sein.
Ich weiß gar nicht ob ich das bei meinem Rechner mit den vorhanden CD's machen kann.

Ich habe hier mal mein Log-File: und Danke für Eure Hilfe! - Bitte Erklärung für doofe abgeben :-)

Logfile of HijackThis v1.99.1
Scan saved at 19:02:19, on 24.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\SPOOLSRV32.EXE
C:\WINDOWS\SYSTEM\Winmodem.101\wmexe.exe
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\TIBS3.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE 6\NETSCP.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SERVICES\{DB1251C0-B4ED-11D9-BF6B-0080AD01EA7B}\SVCHOST.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\EIGENE DATEIEN\PETRA\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ipassist.biz/index.php?id=11258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.de.netscape.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=429
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\SYSTEM\MTC.DLL (file missing)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINDOWS\SYSTEM\WER8274.DLL
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D8274} - C:\WINDOWS\SYSTEM\SPM8274.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\SYSTEM\MTC.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Local runole service] C:\WINDOWS\System\srvc32.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Cat's Claw] C:\NORMAN\WIN95\CLAW95.EXE
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KAZAA] C:\PROGRAMME\MORPHEUS\MORPHEUS.EXE /SYSTRAY
O4 - HKLM\..\Run: [NAV Agent] c:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\SYSTEM\tibs3.exe
O4 - HKLM\..\Run: [Security iGuard] C:\PROGRAMME\SECURITY IGUARD\SECURITY IGUARD.EXE
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\SYSTEM\Services\{E73391C0-B4E4-11D9-BF6B-0080AD01EA7B}\SVCHOST.EXE
O4 - HKLM\..\RunServices: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Winmodem] Winmodem.101\wmexe.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape 6\Netscp.exe" -turbo
O4 - HKCU\..\Run: [WindowsFY] C:\WP.EXE
O4 - Startup: NkvMon.exe.lnk = C:\PROGRAMME\Nikon\NkView6\NkvMon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {4672F100-9C8D-11D9-BF6B-0080AD01EA7B} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {4672F100-9C8D-11D9-BF6B-0080AD01EA7B} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {BEA37BE0-B4AC-11D9-BF6B-0080AD01EA7B} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {BEA37BE0-B4AC-11D9-BF6B-0080AD01EA7B} - (no file) (HKCU)
O14 - IERESET.INF: SEARCH_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de

Ich denke du hast diesen Win32.Agobot.W eingefangen

Lasse diese Datei C:\WINDOWS\SYSTEM\SPOOLSRV32.EXE bei Jotti überprüfen.

Scanne mit ESCAN und zwar nach dieser Anleitung

@Boogy01

Zitat:

ich bin zum ersten mal in so einem Forum unterwegs und suche dringend Hilfe.

Klar. Alle Kazaa-User brauchen Hilfe sehr dringend.

Zitat:

Ich weiß gar nicht ob ich das bei meinem Rechner mit den vorhanden CD's machen kann.

Kannst du. Und nach dem was ich hier sehe:

Zitat:

C:\WINDOWS\SYSTEM\SPOOLSRV32.EXE

sage ich: MUSST DU: http://www3.ca.com/securityadvisor/v....aspx?ID=37169
Eine gute Anleitung findest du in meiner Signatur.
EDIT: n' Abend The Saint

Wünsche dir auch einen schönen guten Abend Rene-gad!

bin gerade dabei mich weiterzubilden

Heute gibt's mal eine kleine Lektion in HijackThis................... sogar umsonst
SPOOLSRV32.EXE ist sicher Malware, aber sicher nicht der genannte Agobot.
Vergleichen wir mal den Eintrag aus HijackThis

Zitat:

O4 - HKLM\..\RunServices: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe

mit dem aus dem Link

Zitat:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS Security Hotfix = "spoolsrv32.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\MS Security Hotfix = "spoolsrv32.exe"

Na fällt uns was auf?


Will ich auch schwer hoffen

Ich würde erstmal zu eScan raten.


P.S: kleiner Tipp am Rande: "Er hat Win98 "


EDIT: Höchstwahrscheinlich handelt es sich um diesen Schädling.

Danke schon mal für die ersten Kommentare!

Frage1: Was ist den Kazaa ?

und Frage2: was tue ich jetzt, bei Jotti kam folgendes Ergebnis:


Datei: SPOOLSRV32.EXE
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
UPX

AntiVir
TR/TopAntiSpyware.i gefunden
Avast
Win32:Trojano-1151 gefunden
AVG Antivirus
Downloader.Small.30.BL gefunden
BitDefender
Trojan.TopAntiSpyware.I gefunden
ClamAV
Trojan.Small-65 gefunden
Dr.Web
Trojan.Click.290 gefunden
F-Prot Antivirus
W32/Topspy.A gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan.Win32.TopAntiSpyware.i gefunden
mks_vir
.TopantiI gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VBA32
Trojan.Win32.TopAntiSpyware.i gefunden

Führe den eScan durch, im System befindet sich nocht mehr.
Oder setz dein System neu auf, aber nicht wegen dem imaginären Agobot

@Haui45
Streng genommen, hast du bei der Definition des Schädlings recht .
Zu bemerken ist auch, dass W98 (im Originalzustand) gar keine Dienste hat.
Da im Log schon einige davon zu sehen sind, finde ich eScan trotzdem überflüssig.
@Boogy01

Zitat:

Frage1: Was ist den Kazaa ?

Zitat:

O4 - HKLM\..\Run: [KAZAA] C:\PROGRAMME\MORPHEUS\MORPHEUS.EXE /SYSTRAY

@Rene-gad
Ich halte es allgemein für gefährlich, sich nur auf die Dateinamen zu verlassen. Es besteht schon ein gewisser Unterschied zwischen den Schädlingen.
Dass ein Neuaufsetzen immer die sicherste Lösung ist, wurde sowieso schon oft genug festgestellt

Ich kann das e-scan Programm nicht runter laden. Der verweist mich immer auf so eine komische Suchseite.

Ich werde wohl nict drum rum kommen den PC neu zu installieren. Hoffentlich klappt das mit den mitgelieferten Disketten.....

Oder soll ich liber mal in einen neuen Rechner investieren ;-) ? mit WIN XP z.B....

Zitat:

Führe den eScan durch, im System befindet sich nocht mehr.
Oder setz dein System neu auf, aber nicht wegen dem imaginären Agobot

Hallo Und schönen guten Abend Haui45!

Ich möchte nur sagen Hut ab vor deinen Kenntnissen!

Kriegt man bei dir auch Lehrstunden?


Ich war mir auch nicht ganz sicher deshalb auch der Scan bei Jotti

probiers mal mit diesem Link
ftp://ftp.microworldsystems.com/download/tools/mwav.exe

Zitat:

Zitat von Boogy01

Oder soll ich liber mal in einen neuen Rechner investieren ;-) ? mit WIN XP z.B....

Wenn du mit deinem Win 98 klarkommst, sehe ich keinen Grund dazu. Zudem bist du mit einem alten Betriebssystem eigentlich sogar "sicherer", da viele Schädlinge eben auf XP zugeschnitten sind.

Zitat:

Zitat von The Saint

Hallo Und schönen guten Abend Haui45!

Ich möchte nur sagen Hut ab vor deinen Kenntnissen!

Auch einen guten Abend.
Ich fühle mich geehrt, aber man kann es auch übertreiben
Trotzdem danke

Zitat:

Zitat von The Saint

Kriegt man bei dir auch Lehrstunden?

Ab und zu


MfG Haui

@Haui :

Die kann sich aber bestimmt keiner leisten, die Lehrstunden *g*

Aber die wichtigste Lektion ist und bleibt "Wer sich mit Kazaa zu helfen versucht, dem ist nicht mehr zu helfen"

Gruß
Andy

Danke für Eure Hilfen,

ich habe jetzt erstmal AntiVir drüberlaufen lassen. er hat auch vier Trojaner entdeckt und entfernt.

Hier ist mein neuer Log, was meint ihr ?

Ich weiß nicht was das für ein Security Iguard sein soll.....
und außerdem ahbe ich keinen Internet Explorer, will ich auch nichthaben ! Warum tauchhen da aber immer so Dateinamen mit Internet Explorer auf ??

Logfile of HijackThis v1.99.1
Scan saved at 17:44:22, on 25.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\Winmodem.101\wmexe.exe
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE 6\NETSCP.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\EIGENE DATEIEN\PETRA\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ipassist.biz/index.php?id=11258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.de.netscape.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=429
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\SYSTEM\MTC.DLL (file missing)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINDOWS\SYSTEM\WER8274.DLL
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D8274} - C:\WINDOWS\SYSTEM\SPM8274.DLL
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\SYSTEM\MTC.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Local runole service] C:\WINDOWS\System\srvc32.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Cat's Claw] C:\NORMAN\WIN95\CLAW95.EXE
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KAZAA] C:\PROGRAMME\MORPHEUS\MORPHEUS.EXE /SYSTRAY
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Security iGuard] C:\PROGRAMME\SECURITY IGUARD\SECURITY IGUARD.EXE
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\RunServices: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Winmodem] Winmodem.101\wmexe.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape 6\Netscp.exe" -turbo
O4 - HKCU\..\Run: [WindowsFY] C:\WP.EXE
O4 - Startup: NkvMon.exe.lnk = C:\PROGRAMME\Nikon\NkView6\NkvMon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {4672F100-9C8D-11D9-BF6B-0080AD01EA7B} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {4672F100-9C8D-11D9-BF6B-0080AD01EA7B} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {BEA37BE0-B4AC-11D9-BF6B-0080AD01EA7B} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {BEA37BE0-B4AC-11D9-BF6B-0080AD01EA7B} - (no file) (HKCU)
O14 - IERESET.INF: SEARCH_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de