moin,
es geht um nen lappi compaq pressario - win ME - aus meiner verwandschaft, deren besitzer nicht glauben, dass etwas "zu besuch ist" ...
da ich aber weiss, dass sie kein ad-adware oder spybot-S&D o.ä. benutzen, war meine vermutung, dass da was sein muss/kann.
ich hoffe nur, es ist nichts größeres - automatische auswertung ergab n paar "böse" treffer (ua dialer?)- denn sie(verwandschaft) wollen bestimmt nicht neuinstall ... (wenn aber muss, dann muss)

und damit auch gleich die nebenfrage: es wurde zu diesem lappi gesagt, dass es nicht möglich sei, ein anderes betriebssys zu install (wegen lappi-sonderedition(?)). noch nicht einmal ME neuinstall. bin aber der meinung, man könne auf jeden rechner jedes betriebssys install (wenn zb xp zwecks arbeitssp. "verkraftet" wird).


fehler aufgetreten - ja: ab und zu verursachen wohl "kernel32 ..." usw fehler. kann aber im moment nicht mehr dazu sagen, da ich das gerät nicht hier hab.

wenn ihr mal schnell gucken könntet ...
danke ...

Zitat:

Zitat von cotton

wenn ihr mal schnell gucken könntet ...
danke ...

Wenn Du sagst wonach, dann gerne

... na auswertung halt ...
MSGSRV32.EXE zb soll laut google n trojaner sein ...

@ cotton

Mit solchen eingeworfenen Brocken kann man natürlich wenig anfangen. Du bist doch nun auch schon länger dabei und weißt sicherlich, daß detailierte Informationen Gold wert sind. Je mehr und genauer desto besser.

Ansonsten ist es ein Fall für Komissar Glaskugel...

ooooohhhhh.....
sh...
ich hab in der eile (nebenbei schon gegooglt und versucht ... naja ...)
vergessen die log zu posten ...
sorry - gab noch nie, wa?


hier jetze aber ...
hab schon backdoor(?!?!?!) gefunden (hoffe nich) und 2-3 troja´s

Logfile of HijackThis v1.99.1
Scan saved at 18:04:01, on 24.09.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE
C:\COMPAQ\CPQINET\CPQINET.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\EIGENE DATEIEN\MYTRAFFIC\MT.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\EAUSBKBD.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\HJT\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = []http://www.ebay.de/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = []http://www.msn.de/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = []http://search.msn.de/[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = []http://www.msn.de/[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\Compaq\Easy Access Button Support\cpqeadm.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Programme\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [CPQInet] c:\compaq\CPQInet\CpqInet.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE /waitservice
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Meine Traffic] C:\EIGENE~1\MYTRAF~1\MT.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [McAfeeWebScanX] C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\SYSTEM\Restore\StateMgr.exe
O4 - HKCU\..\Run: [0190 Alarm] C:\PROGRAMME\0190 ALARM\0190ALARM.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\TRASH.EXE (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\TRASH.EXE (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - []****://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe[/url]
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - []****://216.249.24.142/code/PWActiveXImgCtl.CAB[/url]
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - []h**p://***.ma-de.de/scan/Msie/bitdefender.cab[/url]
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - url]h**p://merchant.eops.de/dialersoftware/cax.cab[/url]
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - []h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab[/url]
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - []h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab[/url]


*edit*wieso funzt die autom. linkumwandlung nich?*edit*
...

Du meinst das hier:
http://www.sophos.de/virusinfo/analy...jnyrubota.html

Bis auf einige unschöne Einträge unter 016 fällt mir nichts weiter auf. Das üblich halt.

Ohne eine Gegenprüfung bei Jotti würde ich hier nicht über eine Neuinstallation unbedingt nachdenken. Bedenke auch, dass der PC älter ist. Du könntest mit anderen OS Probleme bekommen, da ich denke, dass nur 64 MB RAM vorhanden sind.