Hi Liebes Forum,

ich soll einen W98 Rechner der offenbar verseucht ist wieder flott machen und habe wie vermutlich einige Hilfesuchende hier wenig Ahnung von der Materie. Vielleicht kann mir jemand einen Rat geben? Ich hoffe ich beachte die Regeln bei der kurzen Zeit die ich hier angemeldet bin. Hier ein Logfile aus dem hoffentlich das Übel (bzw. hoffentlich ist es kein Übel) zu ersehen ist:

Logfile of HijackThis v1.99.1
Scan saved at 19:05:06, on 13.03.07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\OEMCFOS2\CFOSOEMD.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAAA.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\SYSMON.EXE
C:\WINDOWS\ANWENDUNGSDATEN\FARETORACI\SYSVMTRS.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\XPUPDATE.EXE
C:\WINDOWS\OEMCFOS2\CFNDIS.EXE
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NSCHED32.EXE
C:\PALM\HOTSYNC.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSTS08.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.9\18.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\UNZIPPED\HIJACKTHIS_199\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
F1 - win.ini: run=C:\WINDOWS\OEMCFOS2\cfosoemd.exe
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\wmbehnsen\prefs.js)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O4 - HKLM\..\Run: [euoai] C:\WINDOWS\Anwendungsdaten\faretoraci\sysvmtrs.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: AOL 6.0 Tray Icon.lnk = C:\AOL 6.0\aoltray.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Norton Program Scheduler.lnk = C:\Programme\Norton AntiVirus\NSCHED32.EXE
O4 - Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O4 - Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: www.extremeaccess.info
O15 - Trusted Zone: www.contentdiscount.info
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.softlab.name
O15 - Trusted Zone: www.adslconnection.name
O15 - Trusted Zone: www.xxx-content.name
O15 - Trusted Zone: *.Ýìæ×ÒÒÆÄÆÈØæ¡—×ÔÕËÓîîô
O15 - Trusted Zone: *.ÒÝâÙÓâØÍÜÖÒäã⢗×ÔÕËÓîîô
O15 - Trusted Zone: www.whatsnew.name
O15 - Trusted Zone: www.nodialup.name
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.114.82,85.255.112.168
O21 - SSODL: bcaKKtBcDj - {221D16DD-88B7-BC77-A088-7B4A5AA48E40} - C:\WINDOWS\SYSTEM\KBVRY.DLL
O21 - SSODL: bcaKKtBcDj - {221D16DD-88B7-BC77-A088-7B4A5AA48E40} - C:\WINDOWS\SYSTEM\KBVRY.DLL

Ich würde mich freuen, wenn sich jemand hierzu äussern könnte und ich hoffe, es besteht noch Hoffnung auf "schnelle" Rettung dieses Systems!

Lieben Gruß und besten Dank im Vorwege!!!

Gruß,
Wimmie

Hallo,
auf diesem Rechner hat sich einiges an Spy- und Adware versammelt, ferner zumindest ein Trojaner

Zitat:

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

die berüchtigte DNS-Server-Umleitung über die Ukraine

Zitat:

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.114.82,85.255.112.168

und ein paar Einträge, die ich nicht deuten kann, die aber fast sicher auch auf Schadsoftware zurückgehen (da im Internet nichts über die Dateinamen zu finden ist)

Zitat:

O21 - SSODL: bcaKKtBcDj - {221D16DD-88B7-BC77-A088-7B4A5AA48E40} - C:\WINDOWS\SYSTEM\KBVRY.DLL
O21 - SSODL: bcaKKtBcDj - {221D16DD-88B7-BC77-A088-7B4A5AA48E40} - C:\WINDOWS\SYSTEM\KBVRY.DLL

Meiner Ansicht nach ist eine saubere Neuinstallation und anschließende Absicherung das Mittel der Wahl. Ich bin nicht sicher, ob eine Bereinigung möglich ist; vielleicht mag sich jemand dazu äußern. Tut mir leid, dass ich dir nichts Einfacheres empfehlen kann.

EDIT: zu schnell und wahrscheinlich falsch


Es ist dennoch leichtsinnig mit einem ungepatchten System ins Netz
zu gehen.

Lasse bitte auch noch folgende Dateien auswerten:

Zitat:

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O4 - HKLM\..\Run: [euoai] C:\WINDOWS\Anwendungsdaten\faretoraci\sysvmtrs.exe

Den ersten Eintrag musst du suchen und er ist wahrscheinlich harmlos, ich möchte nur auf Nummer sicher gehen.

Hallo,

besorge dir dringend ein neueres Betriebssystem.
Für Windows 98 gibt es längst keine Sciherheitsupdates mehr!

Du kannst das System bereinigen, aber ich würde gleich ein neueres System installieren.

Gruß
Oskar

Schon einmal vielen Dank für die Hinweise!! Eine Änderung des Betriebssystems ist zunächst nicht möglich, deshalb meine Frage, ob da noch was zu retten ist und wenn ja, ob ich das mit dem HijackThis allein bewerkstelligen kann oder ob für mich als "Nobody" komplizierte Eingriffe getätigt werden müssen ?

Nochmals Dank für die Unterstützung! So ein Forum ist unbezahlbar!!

Gruß,
Wimmie

Hallo,

nun, dein System scheint ziemlich kompromitiert zu sein.
Da ist es mit HijackThis alleine nicht getan.

Wenn du bei Windows 98 bleiben willst, ist eine Neuinstallation wahrscheinlich schneller getan.

Normalerweise sollte man hier im Forum den Support für Win95/98 verweigern.
Mit diesem Betriebssystem ins Internet zu gehen ist grob fahrlässig. Es gibt keine Sichereheitsupdates mehr, man kann das System nur mit entprechenden Aufwand absichern und dann auch nur begrenzt.
Da ist es nur eine Frage der Zeit bis man mit der Bereinigung/Neuinstallation wieder anfangen darf.

Ich würde davon deshalb dringend abraten!

Wenn du immer noch eine Säuberung versuchen willst, melde dich noch mal.


Gruß
Oskar

Hallo Berferd,

danke für die Antwort. Ich denke auch, dass es mit W98 bestimmt nicht empfehlenswert ist weiterzusurfen, aber in diesem Falle lässt sich das leider nicht vermeiden. Deshalb meine Frage, ob es überhaupt ohne größere Umstände möglich ist, diesen Rechner wieder flott zu kriegen (mit Hijackthis ??) ?

Vielen Dank für die Hilfe, denn ich hab (noch) keinen Plan!

Gruß,
Wimmie