Hallo,

an einem Rechner am Arbeitsplatz nebenan haben wir folgende Probleme: Auf dem Win98-Rechner startet die Office 2002 SP3 nur noch sehr langsam, das Startfenster bleibt minutenlang stehen. Im IE landet man oft auf falschen Internetseiten, nachdem man bei Google einen Link anklickt. Obwohl Hijackthis-Logfile nicht seeehr lang ist, blicke ich nicht durch.
Fällt jemandem außer xpupdate noch etwas Verdächtiges auf ?

Danke für die Hilfe,

Tarantoga

Logfile of HijackThis v1.99.1
Scan saved at 09:33:45, on 12.04.07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
Y:\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = *
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *,<local>
R3 - URLSearchHook: (no name) - {C7ED0178-A245-DD41-3C46-AA1A77212D75} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {da9770d3-26fa-4942-8b45-9333ad52ca13} - (no file)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\{236C20A3-E100-11DB-80B0-00C04F8AADE0}.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\{236C20A3-E100-11DB-80B0-00C04F8AADE0}.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.EXE -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\PROGRAMME\GEMEINSAME DATEIEN\INSTALLSHIELD\UPDATESERVICE\issch.exe" -start
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evae.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [UserSp1] wormexe.exe
O4 - HKCU\..\Run: [DTOURS] StatusCheck.exe
O4 - HKCU\..\Run: [scanSYS] qwe.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .tif: C:\Programme\Internet Explorer\Plugins\NP~avtif.dll
O12 - Plugin for .tiff: C:\Programme\Internet Explorer\Plugins\NP~avtif.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.115.46,85.255.112.154

Uff. Wer hat den denn so zugerichtet?

Ich würde den Rechner zum Systemadmin(?) geben mit der Bitte ihn neuaufzusetzten.

Da müssten jede Menge nicht erwünschter Toolbars und Werbung erscheinen oder nicht.

Lade dir ansonsten bitte SSW, installiere und update das Proggi. Dann mache zwei volle Systemscans: einen im normalen und einen im abgesicherten Modus. Entferne alles was gefunden wird.

Und dann würde ich einen eScan machen. Anleitung ist in meiner Signatur verlinkt.

mfg

Undoreal

Vielen Dank für die Einschätzung !

Ich werde wohl ertsmal SSW wie angegeben durchlaufen lassen und danach über eine Neuinstallation nachdenken.

Tarantoga

Hy du,

kannste sein lassen mit der ssw. Betrachte gleich die Neuinstallastion
als Priorität:

Zitat:

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

Das ist dieser Spywarewurm mit Backdoorfunktionalität.

Nehme bitte alle Rechner vom Netz, setze dein System neu auf,
ändere sämtliche Passwörter und überprüfe anschließend alle
weiteren Computersysteme.

mfg Cleriker

Hallo Cleriker,

unter der Adresse, die du angegeben hast, wird beschrieben wie xpupdate zu entfernen ist. Denkst du nicht, dass man das versuchen sollte ?

Danke für den Hinweis.

Tarantoga

Zitat:

unter der Adresse, die du angegeben hast, wird beschrieben wie xpupdate zu entfernen ist. Denkst du nicht, dass man das versuchen sollte ?

Verstehe ich nicht, wie meinst du das?

Hier das Zitat von Sophos

Zitat:

XPUpdate.exe

Sobald er installiert ist, versucht W32/Rbot-QE, Tastenfolgen zu speichern, an Distributed-Denial-of-Service (DDoS)-Attacken teilzunehmen, Dateien aus dem Internet herunterzuladen und zu starten, CD-Schlüssel zu stehlen, sich an MS SQL-Servern anzumelden und EXEC-Befehle an eine offene Commandshell auf dem Server zu senden, wenn er von einem remoten Angreifer entsprechend angewiesen wird.

Muss ich noch mehr sagen oder habe ich dich falsch verstanden?

mfg Cleriker