Hallo,
ich habe eine escan und einen Hijack-scan durchgeführt und poste gleich meine Protokolle.

Noch folgende Info: Weil die Aktualisierung von escan im abgesicherten Modus nicht klappte (wohl weil noch WIN 98 ohne Netzwerkunterstützung) habe ich auch nicht im abgesicherten Modus gescannt.

Seit einiger Zeit kann Norton AV den Bootsektor nicht mehr scannen. Kann dort noch etwas sein?

find.bat hat leider nicht funktioniert (Befehl oder Dateiname nicht gefunden). Ich habe deshalb die mir wichtig erscheinenden Einträge aus dem mwav.log hier rein kopiert. Aber auch danach scheint ein recht ordentlicher Befall vorhanden zu sein. Wahrscheinlich soll ich die befallenen Dateien löschen.
Ich bitte um Rat und Hilfe.

Hier die scan-Protokolle:

Sun May 27 13:06:09 2007 => Virus-Datenbank Datum: 5/27/07
Sun May 27 13:06:09 2007 => Virus-Datenbank Zähler: 330482

Sun May 27 13:07:09 2007 => Optionen vom Benutzer ausgewählt:
Sun May 27 13:07:09 2007 => Specherüberprüfung: Aktiviert
Sun May 27 13:07:09 2007 => Registry Überprüfung: Aktiviert
Sun May 27 13:07:09 2007 => StartUp-Ordner Überprüfung: Aktiviert
Sun May 27 13:07:09 2007 => System-Ordner Überprüfung: Aktiviert
Sun May 27 13:07:09 2007 => Überprüfung der Systembereiche: Deaktiviert
Sun May 27 13:07:09 2007 => Überprüfung der Dienste: Aktiviert
Sun May 27 13:07:09 2007 => Überprüfung der Festplatten: Deaktiviert
Sun May 27 13:07:09 2007 => Überprüfung aller Festplatten :Aktiviert
Sun May 27 13:07:09 2007 => Verzeichniss Überprüfung: Deaktiviert

Sun May 27 13:07:38 2007 => Scanne Datei C:\WINDOWS\SYSTEM\RSVP32_2.DLL
Sun May 27 13:07:38 2007 => Datei C:\WINDOWS\SYSTEM\RSVP32_2.DLL infiziert von "Trojan-Proxy.Win32.Agent.ly" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sun May 27 13:08:13 2007 => Scanne Datei C:\WINDOWS\SYSTEM\ipv6monl.dll
Sun May 27 13:08:13 2007 => Datei C:\WINDOWS\SYSTEM\ipv6monl.dll infiziert von "Trojan.Win32.Agent.aeq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sun May 27 13:08:35 2007 => ERROR!!! Invalid Entry EnsoniqMixer = starter.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.

Sun May 27 13:08:48 2007 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Sun May 27 13:08:48 2007 => Loading Spyware Signatures from new External Database [Name: C:\WINDOWS\TEMP\spydb.avs, Size: 228592].
Sun May 27 13:08:48 2007 => Indexed Spyware Databases Successfully Created...

Sun May 27 13:09:25 2007 => Offending file found: C:\WINDOWS\Favoriten\links\ebay.url
Sun May 27 13:09:25 2007 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.

Sun May 27 13:09:37 2007 => Offending file found: C:\WINDOWS\SYSTEM\ipv6monl.dll
Sun May 27 13:09:37 2007 => System found infected with schoeberl.e Trojan (C:\WINDOWS\SYSTEM\ipv6monl.dll)! Action taken: Keine Aktion vorgenommen.

Sun May 27 13:15:51 2007 => Scanne Datei C:\WINDOWS\SYSTEM\ipv6monl.dll
Sun May 27 13:15:51 2007 => Datei C:\WINDOWS\SYSTEM\ipv6monl.dll infiziert von "Trojan.Win32.Agent.aeq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sun May 27 13:15:51 2007 => Scanne Datei C:\WINDOWS\SYSTEM\rsvp32_2.dll
Sun May 27 13:15:51 2007 => Datei C:\WINDOWS\SYSTEM\rsvp32_2.dll infiziert von "Trojan-Proxy.Win32.Agent.ly" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sun May 27 13:18:22 2007 => Scanne Datei C:\WINDOWS\TEMP\fotoalbum.exe
Sun May 27 13:18:23 2007 => Datei C:\WINDOWS\TEMP\fotoalbum.exe infiziert von "Trojan.Win32.Agent.aeq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sun May 27 13:18:23 2007 => Scanne Datei C:\WINDOWS\TEMP\zc2.exe
Sun May 27 13:18:23 2007 => Datei C:\WINDOWS\TEMP\zc2.exe infiziert von "Trojan-Proxy.Win32.Agent.ly" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sun May 27 13:21:05 2007 => Scanne Datei C:\WINDOWS\TEMPOR~1\CONTENT.IE5\0TG1YN8D\Setup[1].exe
Sun May 27 13:21:11 2007 => File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\0TG1YN8D\Setup[1].exe markiert als "not-a-virus:AdWare.Win32.180Solutions.ax". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sun May 27 13:25:06 2007 => Scanne Datei C:\WINDOWS\SYSTEM\MACROMED\Director\M5drvr32.exe
Sun May 27 13:25:06 2007 => Datei C:\WINDOWS\SYSTEM\MACROMED\Director\M5drvr32.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sun May 27 13:30:27 2007 => Scanne Datei C:\WINDOWS\SYSTEM\ipv6monl.dll
Sun May 27 13:30:28 2007 => Datei C:\WINDOWS\SYSTEM\ipv6monl.dll infiziert von "Trojan.Win32.Agent.aeq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sun May 27 13:30:28 2007 => Scanne Datei C:\WINDOWS\SYSTEM\rsvp32_2.dll
Sun May 27 13:30:28 2007 => Datei C:\WINDOWS\SYSTEM\rsvp32_2.dll infiziert von "Trojan-Proxy.Win32.Agent.ly" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sun May 27 13:39:55 2007 => Scanne Datei C:\WINDOWS\TEMP\fotoalbum.exe
Sun May 27 13:39:55 2007 => Datei C:\WINDOWS\TEMP\fotoalbum.exe infiziert von "Trojan.Win32.Agent.aeq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sun May 27 13:39:55 2007 => Scanne Datei C:\WINDOWS\TEMP\zc2.exe
Sun May 27 13:39:56 2007 => Datei C:\WINDOWS\TEMP\zc2.exe infiziert von "Trojan-Proxy.Win32.Agent.ly" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sun May 27 13:43:08 2007 => Scanne Datei C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{AC76BA86-7AD7-1031-7B44-A00000000001}\ARPPRODUCTICON.exe
Sun May 27 13:43:08 2007 => Datei C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{AC76BA86-7AD7-1031-7B44-A00000000001}\ARPPRODUCTICON.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sun May 27 13:43:12 2007 => Scanne Datei C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{DC937D64-BBB0-419A-8A2E-671B6B8A8DF6}\_294823.exe
Sun May 27 13:43:12 2007 => Datei C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{DC937D64-BBB0-419A-8A2E-671B6B8A8DF6}\_294823.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen:

Sun May 27 13:43:12 2007 => Scanne Datei C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{DC937D64-BBB0-419A-8A2E-671B6B8A8DF6}\_18be6784.exe
Sun May 27 13:43:12 2007 => Datei C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{DC937D64-BBB0-419A-8A2E-671B6B8A8DF6}\_18be6784.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sun May 27 13:43:12 2007 => Scanne Datei C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{DC937D64-BBB0-419A-8A2E-671B6B8A8DF6}\_4ae13d6c.exe
Sun May 27 13:43:12 2007 => Datei C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{DC937D64-BBB0-419A-8A2E-671B6B8A8DF6}\_4ae13d6c.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sun May 27 13:55:00 2007 => Scanne Datei C:\WINDOWS\Temporary Internet Files\Content.IE5\0TG1YN8D\Setup[1].exe
Sun May 27 13:55:07 2007 => File C:\WINDOWS\Temporary Internet Files\Content.IE5\0TG1YN8D\Setup[1].exe markiert als "not-a-virus:AdWare.Win32.180Solutions.ax". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sun May 27 13:59:48 2007 => Scanne Datei C:\WINDOWS\Installer\{A4D7B764-4140-11D4-88EB-0050DA3579C0}\ARPPRODUCTICON.exe
Sun May 27 13:59:48 2007 => Datei C:\WINDOWS\Installer\{A4D7B764-4140-11D4-88EB-0050DA3579C0}\ARPPRODUCTICON.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.


Logfile of HijackThis v1.99.1
Scan saved at 17:01:29, on 27.05.07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\SIEMENS\GIGASET WLAN ADAPTER\WLM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\SYSTEM\ipv6monl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NORTON~2\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\POProxy.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp4: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .3gp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin5.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - h**p://www.ca.com/de/securityadvisor/virusinfo/webscan.cab

Danke!

Richtig, das System ist übelst infiziert, unter anderem mit einem passwortstehlenden Trojanischen Pferd. Mehr dazu gleich.

Hi,

da hat den armen Markus der Schlag getroffen. Formatiere und installiere das System neu, das geht bei Windows 98 noch schneller als bei XP. Im übrigen gibt es für Windows 98 keine Sicherheitsupdates mehr, deshalb hat es nichts mehr in einem Netzwerk /Internet zu suchen, als Offline Textsystem aber noch benutzbar.

Gruß, Karl

Hab jetzt erst Deinen Eintrag gelesen Karl.
Muss wohl doch noch ein neues OS draufspielen - Rechner soll nämlich schon noch ab und zu im Netz laufen.

Trotzdem her noch mal das neue logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:11:10, on 28.05.07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NORTON~2\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\POProxy.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp4: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .3gp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin5.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - h**p://www.ca.com/de/securityadvisor/virusinfo/webscan.cab