Hallo,

habe von meinem Webseitenhoster heute die Nachricht bekommen, daß sich auf meine website ein Virus befindet, welches wahrscheinlich von einem, der das ftp-Passwort ausspioniert hat, dort hochgeladen wurde.

Habe WIN98 und meine hosts Datei ist voll von Einträgen, die ich da nicht reingesetzt habe.

Wie kommen die da rein und kommen sie wieder dorthon, wenn ich die hosts Datei davon befreie??

Hier ist das log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:55:34, on 18.11.09
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SOINTGR.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAMME\BILLP STUDIOS\WINPATROL\WINPATROL.EXE
C:\WINDOWS\SYSTEM\MONITUSB.EXE
C:\PROGRAMME\ATNOTES\ATNOTES.EXE
C:\PROGRAMME\BBAR\BBAR.EXE
C:\PROGRAMME\CLICKOFF\CLICKOFF.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\BIET-O-MATIC\BIET-O-MATIC.EXE
C:\PROGRAMME\TCLOCK\TCLOCK.EXE
C:\PROGRAMME\OPENOFFICE.ORG1.1.5\PROGRAM\SOFFICE.EXE
C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMME\TREND MICRO\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F1 - win.ini: run=hpfsched
O1 - Hosts: 207.199.1.105 w*w.gamespy.com
O1 - Hosts: 206.132.131.50 w*w.gamespot.com
O1 - Hosts: 216.247.236.68 w*w.tweakfiles.com
O1 - Hosts: 216.151.127.41 w*w.tweak3d.net
O1 - Hosts: 205.252.89.157 w*w.deskmod.com
O1 - Hosts: 64.28.67.48 w*w.slashdot.org
O1 - Hosts: 207.199.1.103 w*w.planetquake.com
O1 - Hosts: 216.247.236.67 w*w.3dfiles.com
O1 - Hosts: 207.115.70.83 w*w.3dspotlight.net
O1 - Hosts: 216.183.105.186 w*w.penny-arcade.com
O1 - Hosts: 209.207.250.33 w*w.somethingawful.com
O1 - Hosts: 207.46.209.218 w*w.msn.com
O1 - Hosts: 207.0.114.195 w*w.tabworldonline.com
O1 - Hosts: 63.214.181.69 w*w.tweaktown.com
O1 - Hosts: 205.181.128.80 w*w.geek.com
O1 - Hosts: 199.105.102.131 w*w.happypuppy.com
O1 - Hosts: 205.229.72.80 w*w.hothardware.com
O1 - Hosts: 61.8.3.18 w*w.insanehardware.com
O1 - Hosts: 216.34.72.161 w*w.millisec.com
O1 - Hosts: 209.249.33.4 w*w.msicomputer.com
O1 - Hosts: 208.249.124.215 w*w.overclockers.com
O1 - Hosts: 213.207.14.141 zoiah.m3dzone.com
O1 - Hosts: 63.67.239.189 tdg.vintagegaming.com
O1 - Hosts: 207.153.207.173 w*w.tech-junkie.com
O1 - Hosts: 209.68.32.183 w*w.storagereview.com
O1 - Hosts: 209.197.121.2 w*w.tomshardware.com
O1 - Hosts: 209.247.194.100 babelfish.altavista.digital.com
O1 - Hosts: 206.204.212.2 w*w.symantec.com
O1 - Hosts: 209.68.58.104 motherboards.org
O1 - Hosts: 192.18.97.241 w*w.sun.com
O1 - Hosts: 216.62.153.3 w*w.pinkmonkey.com
O1 - Hosts: 159.33.1.85 cbc.ca
O1 - Hosts: 166.70.10.23 w*w.computerhope.com
O1 - Hosts: 198.235.69.50 w*w.expressvu.com
O1 - Hosts: 64.14.126.119 w*w.brainbench.com
O1 - Hosts: 208.47.252.43 w*w.bootdisk.com
O1 - Hosts: 137.82.195.9 careerowl.ca
O1 - Hosts: 209.66.74.94 w*w.techbargains.com
O1 - Hosts: 206.47.148.163 w*w.pccanada.com
O1 - Hosts: 206.161.202.96 w*w.skinz.org
O1 - Hosts: 208.228.126.53 w*w.express.com
O1 - Hosts: 207.168.8.2 w*w.onsale.com
O1 - Hosts: 207.168.8.2 w*w.egghead.com
O1 - Hosts: 216.241.100.190 w*w.computersurplusoutlet.com
O1 - Hosts: 209.67.181.21 w*w.buy.com
O1 - Hosts: 206.253.222.67 w*w.2cooltek.com
O1 - Hosts: 206.132.163.111 w*w.nbc.com
O1 - Hosts: 209.116.0.210 w*w.litestep.net
O1 - Hosts: 216.33.41.60 w*w.fox.com
O1 - Hosts: 63.226.107.3 w*w.darkstep.com
O1 - Hosts: 193.125.199.4 w*w.icqplus.org
O1 - Hosts: 208.51.196.21 w*w.customize.org
O1 - Hosts: 63.227.17.77 w*w.cognitivedistortion.com
O1 - Hosts: 63.249.168.192 w*w.graphicsdesign.org
O1 - Hosts: 64.225.121.225 w*w.designsbymark.com
O1 - Hosts: 207.228.228.14 w*w.98lite.net
O1 - Hosts: 195.97.246.136 w*w.1001icqskins.com
O1 - Hosts: 209.10.46.171 w*w.diamondmm.com
O1 - Hosts: 64.41.230.253 w*w.creative.com
O1 - Hosts: 64.41.230.253 w*w.soundblaster.com
O1 - Hosts: 209.249.164.210 gxs.n3.net
O1 - Hosts: 209.137.157.25 w*w.canon.com
O1 - Hosts: 192.151.52.13 w*w.hp.com
O1 - Hosts: 216.18.6.150 w*w.chalk.com
O1 - Hosts: 208.185.239.10 sdnews.net
O1 - Hosts: 216.49.88.12 w*w.mcafee.com
O1 - Hosts: 206.96.221.169 w*w.hardocp.com
O1 - Hosts: 216.151.100.102 w*w.anandtech.com
O1 - Hosts: 216.15.188.70 w*w.3dgpu.com
O1 - Hosts: 204.180.41.10 w*w.reactorcritical.com
O1 - Hosts: 216.205.180.39 w*w.3dchipset.com
O1 - Hosts: 212.35.226.50 w*w.eurogamer.net
O1 - Hosts: 206.114.154.45 w*w.smartalec2000.com
O1 - Hosts: 128.11.45.131 w*w.hotfiles.com
O1 - Hosts: 216.105.162.18 w*w.voodooextreme.com
O1 - Hosts: 216.200.247.148 w*w.download.com
O1 - Hosts: 216.200.247.132 w*w.cnet.com
O1 - Hosts: 205.181.112.65 w*w.zdnet.com
O1 - Hosts: 209.73.164.92 w*w.altavista.com
O1 - Hosts: 204.71.200.75 w*w.yahoo.com
O1 - Hosts: 206.253.217.38 w*w.metacrawler.com
O1 - Hosts: 209.198.21.71 astalavista.box.sk
O1 - Hosts: 216.35.123.102 w*w.ignpc.com
O1 - Hosts: 143.166.82.178 w*w.dell.com
O1 - Hosts: 216.247.236.67 w*w.3dfiles.com
O1 - Hosts: 209.87.55.145 w*w.a-power.com
O1 - Hosts: 64.23.13.53 w*w.reliz.ru
O1 - Hosts: 216.165.161.17 w*w.theonion.com
O1 - Hosts: 216.35.123.107 w*w.ign.com
O1 - Hosts: 204.146.81.99 w*w.ibm.com
O1 - Hosts: 205.214.169.2 w*wacerlabs.com
O1 - Hosts: 216.200.159.128 w*w.asus.com
O1 - Hosts: 192.216.191.42 w*w.acer.com
O1 - Hosts: 140.174.105.248 w*w.nvidia.com
O1 - Hosts: 204.50.136.43 w*w.matrox.com
O1 - Hosts: 166.90.143.6 w*w.3dfx.com
O1 - Hosts: 207.167.207.71 w*w.ati.com
O1 - Hosts: 63.170.89.212 w*w.abit.com
O1 - Hosts: 216.200.57.12 w*w.firingsquad.com
O1 - Hosts: 216.74.72.88 w*w.uniballcentral.com
O1 - Hosts: 208.185.239.10 sdn.fgnetwork.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRAMME\FRESHDEVICES\FRESHDOWNLOAD\FDIEHLP.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [PowerQuest Startup Utility] C:\Programme\PowerQuest\PartitionMagic5\UTILITY\MMOVER32\PQINIT.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRAMME\BILLP STUDIOS\WINPATROL\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [SMI USB Monitor] c:\windows\SYSTEM\monitusb.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\RunServices: [avast!] C:\Programme\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKCU\..\Run: [ATnotes.exe] C:\PROGRAMME\ATNOTES\ATNOTES.EXE
O4 - HKCU\..\RunServices: [ATnotes.exe] C:\PROGRAMME\ATNOTES\ATNOTES.EXE
O4 - HKUS\.DEFAULT\..\Run: [ATnotes.exe] C:\PROGRAMME\ATNOTES\ATNOTES.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Spyware Doctor] (User 'Default user')
O4 - .DEFAULT Startup: ButtonBar.lnk = C:\Programme\bbar\bBar.exe (User 'Default user')
O4 - .DEFAULT Startup: ClickOff.lnk = C:\Programme\ClickOff\Clickoff.exe (User 'Default user')
O4 - .DEFAULT Startup: OpenOffice.org 1.1.5.lnk = C:\Programme\OpenOffice.org1.1.5\program\quickstart.exe (User 'Default user')
O4 - .DEFAULT Startup: Biet-O-Matic.lnk = C:\Programme\Biet-O-Matic\Biet-O-Matic.exe (User 'Default user')
O4 - .DEFAULT Startup: TClock.lnk = C:\Programme\TClock\TClock.exe (User 'Default user')
O4 - Startup: ButtonBar.lnk = C:\Programme\bbar\bBar.exe
O4 - Startup: ClickOff.lnk = C:\Programme\ClickOff\Clickoff.exe
O4 - Startup: OpenOffice.org 1.1.5.lnk = C:\Programme\OpenOffice.org1.1.5\program\quickstart.exe
O4 - Startup: Biet-O-Matic.lnk = C:\Programme\Biet-O-Matic\Biet-O-Matic.exe
O4 - Startup: TClock.lnk = C:\Programme\TClock\TClock.exe
O8 - Extra context menu item: &Google-Suche - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O15 - Trusted Zone: h**p://www.osterbek.de
O15 - Trusted Zone: h**p://www.advance-bank.de
O15 - Trusted Zone: h**p://www.apollonia.de
O15 - Trusted Zone: h**p://www.ebay.de
O15 - Trusted Zone: h**p://cgi3.ebay.de
O15 - Trusted Zone: h**p://cgi2.ebay.de
O15 - Trusted Zone: h**p://signin.ebay.de
O15 - Trusted Zone: w*w.adac.de
O15 - Trusted Zone: h**p://www.adac.de
O15 - Trusted Zone: h**p://www.zweitausendeins.de
O15 - Trusted Zone: h**p://www.klick-bilderbox.de
O15 - Trusted Zone: h**p://www.klickbilderbox.de
O15 - Trusted Zone: h**p://www.ciao.com
O15 - Trusted Zone: h**p://www.medizin-forum.de
O15 - Trusted Zone: h**p://www.linuxtag.org
O15 - Trusted Zone: h**p://www.solarcalc.de
O15 - Trusted Zone: h**p://www.smartdentist.de
O15 - Trusted Zone: h**p://mein.digitalkamera.de
O15 - Trusted Zone: h**p://www.digicamfotos.de
O15 - Trusted Zone: h**p://www.google.de
O15 - Trusted Zone: h**p://*.google.de
O15 - Trusted Zone: h**p://support.f-secure.com

--
End of file - 10884 bytes

Die Hosts wurden wahrscheinlich eingetragen
Genauso wie die Trusted Zone für den IE.

Bitte Logfiles immer komplett posten. Notfalls in mehrere Posts aufteilen

• Lade Random's System Information Tool (RSIT) herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

Und einfach mal ein aktuelles Betriebssystem installieren. Für Windows 98 gibt es seit langer Zeit keine Sicherheitsupdates mehr, das mag noch ok sein als nichtvernetztes System um ganz alte Games zu daddeln, aber für sonst nichts, und von einem solchen Schrott Webseiten per FTP hochladen ist mehr als nur fahrlässig.

Zitat:

Zitat von Larusso

Die Hosts wurden wahrscheinlich eingetragen
Genauso wie die Trusted Zone für den IE.

Die in die trusted Zone habe ich auch selbst eingetragen - bei den hosts...nicht, daß ich wüßte...

Zitat:

Zitat von Larusso

Bitte Logfiles immer komplett posten. Notfalls in mehrere Posts aufteilen

Die sind komplett.

Zitat:

Zitat von Larusso

• Lade Random's System Information Tool (RSIT) herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

Hat leider nicht funktioniert. Doppelklick auf die Datei: Ohne Reaktion.

Liegt wahrscheinlich an Win98. Es gibt nicht mehr viele Diagnoseprogramme, die noch damit laufen.

Trotzdem Danke für Deine Hinweise.

Tschüß
Michael

Zitat:

Zitat von KarlKarl

Und einfach mal ein aktuelles Betriebssystem installieren. Für Windows 98 gibt es seit langer Zeit keine Sicherheitsupdates mehr, das mag noch ok sein als nichtvernetztes System um ganz alte Games zu daddeln, aber für sonst nichts, und von einem solchen Schrott Webseiten per FTP hochladen ist mehr als nur fahrlässig.

Da magst Du wohl recht haben. Das Webseiten hochladen sollte ich lassen.

Einfach ein anderes System installieren geht wegen der schwachen PC Leistung sicher nicht mehr. Selbst Linux läuft hier nur schleppend oder garnicht. XP kann man ganz vergessen. Das hieße also in jedem Fall: Ein neuer PC muß her und viele viele liebgewordene Programme laufen nicht mehr damit. Und ich meine damit keine Games, sondern für mich eigentlich wichtige, komplexe Programme für die es keinen vernünftigen Ersatz gibt.

Danke für Deinen Beitrag.

Tschüß
Michael