Hallo zusammen,

habe wieder mal trouble mit meiner Kiste.

Aktualisierten eScan laufen lassen und hier ist mein HjLog. Wäre bitte einer von den Pros mal so lieb druberzuschauen?! Von wegen fixen und so (was auch immer das eigentlich bedeuten mag).

Danke!!!



Logfile of HijackThis v1.98.2
Scan saved at 20:39:29, on 29.09.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\ANTI-VIRUS-PROGR\HIJACKTHIS1982\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=18&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=18&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTI-VIRUS-PROGR\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\SYSTEM\windows\services.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\SMSMAN~1\SMSMngr.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Programme\TextBridge Classic\Bin\TBMenu.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Corel Network monitor worker - {0B81217D-B74B-4247-813B-DCF4E0DC68D7} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {0B81217D-B74B-4247-813B-DCF4E0DC68D7} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {0B81217D-B74B-4247-813B-DCF4E0DC68D7} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {0B81217D-B74B-4247-813B-DCF4E0DC68D7} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O12 - Plugin for .c2b: C:\PROGRA~1\INTERN~1\PLUGINS\npaoob32.dll
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=18&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=18&q=
O16 - DPF: {380D8190-23CB-11D3-B94F-00105A566F76} (Swing Classes) - http://sicher.first-e.com/enba/java/jars/swinginst.cab
O16 - DPF: {380D8192-23CB-11D3-B94F-00105A566F76} (first-e E-Mail Reader) - http://sicher.first-e.com/enba/java/jars/tnbinst.cab
O16 - DPF: {380D8193-23CB-11D3-B94F-00105A566F76} (first-e Utility Classes) - http://sicher.first-e.com/enba/java/jars/firsteinst.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253

hi

ich würde das unbedingt fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.heretofind.com/show.php?id=18&q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.heretofind.com/show.php?id=18&q=%s
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\SYSTEM\windows\services.exe
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=18&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=18&q=

Hast du dein Log-File im abgesicherten Modus erstellt, denn deine laufenden Prozesse sind etwas dürftig. Wenn ja, nochmal eins im normalen Modus erstellen.

Hallo und erst mal danke für die schnelle Antwort.

Ja, Log-File wurde im abgesicherten Modus erstellt.

Hier nochmal eines im "normalen".

Grüße



Logfile of HijackThis v1.98.2
Scan saved at 20:59:26, on 29.09.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\ANTI-VIRUS-PROGR\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WINDOWS\SERVICES.EXE
C:\PROGRAMME\SMSMANAGER\SMSMNGR.EXE
C:\PROGRAMME\TELEDAT\IWATCH.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\ANTI-VIRUS-PROGR\HIJACKTHIS1982\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=18&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=18&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTI-VIRUS-PROGR\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\SYSTEM\windows\services.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\SMSMAN~1\SMSMngr.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Programme\TextBridge Classic\Bin\TBMenu.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Corel Network monitor worker - {0B81217D-B74B-4247-813B-DCF4E0DC68D7} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {0B81217D-B74B-4247-813B-DCF4E0DC68D7} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {0B81217D-B74B-4247-813B-DCF4E0DC68D7} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {0B81217D-B74B-4247-813B-DCF4E0DC68D7} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O12 - Plugin for .c2b: C:\PROGRA~1\INTERN~1\PLUGINS\npaoob32.dll
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=18&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=18&q=
O16 - DPF: {380D8190-23CB-11D3-B94F-00105A566F76} (Swing Classes) - http://sicher.first-e.com/enba/java/jars/swinginst.cab
O16 - DPF: {380D8192-23CB-11D3-B94F-00105A566F76} (first-e E-Mail Reader) - http://sicher.first-e.com/enba/java/jars/tnbinst.cab
O16 - DPF: {380D8193-23CB-11D3-B94F-00105A566F76} (first-e Utility Classes) - http://sicher.first-e.com/enba/java/jars/firsteinst.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253

Fixe dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=18&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=18&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\SYSTEM\windows\services.exe
O9 - Extra button: Corel Network monitor worker - {0B81217D-B74B-4247-813B-DCF4E0DC68D7} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {0B81217D-B74B-4247-813B-DCF4E0DC68D7} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {0B81217D-B74B-4247-813B-DCF4E0DC68D7} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {0B81217D-B74B-4247-813B-DCF4E0DC68D7} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=18&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=18&q=

Jiip!

Hier das aktuelle Log. Wie sieht das aus?

Grüße



Logfile of HijackThis v1.98.2
Scan saved at 21:35:14, on 29.09.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\ANTI-VIRUS-PROGR\HIJACKTHIS1982\HIJACKTHIS.EXE

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTI-VIRUS-PROGR\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\SMSMAN~1\SMSMngr.exe
O4 - HKCU\..\Run: [Rteo] C:\WINDOWS\Anwendungsdaten\tast.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Programme\TextBridge Classic\Bin\TBMenu.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O12 - Plugin for .c2b: C:\PROGRA~1\INTERN~1\PLUGINS\npaoob32.dll
O16 - DPF: {380D8190-23CB-11D3-B94F-00105A566F76} (Swing Classes) - http://sicher.first-e.com/enba/java/jars/swinginst.cab
O16 - DPF: {380D8192-23CB-11D3-B94F-00105A566F76} (first-e E-Mail Reader) - http://sicher.first-e.com/enba/java/jars/tnbinst.cab
O16 - DPF: {380D8193-23CB-11D3-B94F-00105A566F76} (first-e Utility Classes) - http://sicher.first-e.com/enba/java/jars/firsteinst.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253

@Heraklit

der ist im system
http://www.sophos.de/virusinfo/analyses/w32gunsana.html
hier isser
O4 - HKCU\..\Run: [Rteo] C:\WINDOWS\Anwendungsdaten\tast.exe

fixen
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

lese bitte bei sophos nach.
du kannst es mit fixen versuchen(beide einträge) in abgesicherten modus.
danach mit escan
http://www.trojaner-board.de/42731-escan-anleitung.html
dein glück versuchen.
der zweite möglichkeit jedoch wäre sicherer, dein system neu aufsetzen.
http://www.mathematik.uni-marburg.de...ompromise.html

du hast die wahl
chaosman

Na ja, auf System neu aufsetzen bin ich natürlich nicht so scharf.

Das ist halt wirklich die ultima ratio.

Ich habe jetzt nochmal im abgesicherten Modus einen eScan und einen AntiVirus-Scan durchgeführt. Der eScan hat noch 3 Trojaner im Windows/Temorary-Internet-Files gefunden und entfernt während AV ohne Befund blieb. Das Log vom eScan kann ich nicht öffnen da dann das WordPad abstürzt. Ich kann es auch als umbenannte txt-Datei nicht mit hochladen.

Weiterhin hier das HjLog aus dem abgesicherten Modus.

Wäre um eine Meinung ganz dankbar.

Gruß und Dank



Logfile of HijackThis v1.98.2
Scan saved at 00:06:50, on 30.09.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\ANTI-VIRUS-PROGR\HIJACKTHIS1982\HIJACKTHIS.EXE

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTI-VIRUS-PROGR\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\SMSMAN~1\SMSMngr.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Programme\TextBridge Classic\Bin\TBMenu.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O12 - Plugin for .c2b: C:\PROGRA~1\INTERN~1\PLUGINS\npaoob32.dll
O16 - DPF: {380D8190-23CB-11D3-B94F-00105A566F76} (Swing Classes) - http://sicher.first-e.com/enba/java/jars/swinginst.cab
O16 - DPF: {380D8192-23CB-11D3-B94F-00105A566F76} (first-e E-Mail Reader) - http://sicher.first-e.com/enba/java/jars/tnbinst.cab
O16 - DPF: {380D8193-23CB-11D3-B94F-00105A566F76} (first-e Utility Classes) - http://sicher.first-e.com/enba/java/jars/firsteinst.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253

Hallo Heraklit,

brauchst/kennst Du diese Einträge? Wenn nicht, kannst Du sie noch mit Hijack This im abgesicherten Modus fixen:

O16 - DPF: {380D8190-23CB-11D3-B94F-00105A566F76} (Swing Classes) - http://sicher.first-e.com/enba/java/jars/swinginst.cab
O16 - DPF: {380D8192-23CB-11D3-B94F-00105A566F76} (first-e E-Mail Reader) - http://sicher.first-e.com/enba/java/jars/tnbinst.cab
O16 - DPF: {380D8193-23CB-11D3-B94F-00105A566F76} (first-e Utility Classes) - http://sicher.first-e.com/enba/java/jars/firsteinst.cab

Das Logfile vom eScan sollst Du auch garnicht posten. Nur das Endergebnis ... es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:

... und wenn's geht, die Namen der Viren .... jener Viren, die sich nicht in den Temporary Internetfiles befinden.

SD

Hallo,

also so sieht´s aus:

1. Der eScan im abgesicherten Modus brachte 4 Viren in folgenden Pfaden zutage:

FileC:/Windows/Command/ESD/EBD.CAB tagged as-not-a-virus: Tool.DOS:Restart. No Action Taken

FileC:/ indows/Anwendungsdaten/Thunderbird/Profiles/8frax7vv.default/Mail.....
..tagged as-not-a-virus: Simulator.Win16.Sheep: No Action Taken

FileC:/RECYCLED/DC121/DivXPro502GAINBundle.exe tagged as-not-a-virus: Tool.Win32 Reboot. No Action Taken

C:/Programme/Napster/napv2b7.exe tagged as-not-a-virus: Tool Win32 Reboot. No Action Taken


2. Im Anschluß nochmal das HjLog-File aus dem abgesicherten Modus:


Logfile of HijackThis v1.98.2
Scan saved at 12:49:34, on 30.09.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\ANTI-VIRUS-PROGR\HIJACKTHIS1982\HIJACKTHIS.EXE

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTI-VIRUS-PROGR\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\SMSMAN~1\SMSMngr.exe
O4 - HKCU\..\RunServices: [SMS-Manager] C:\PROGRA~1\SMSMAN~1\SMSMngr.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Programme\TextBridge Classic\Bin\TBMenu.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O12 - Plugin for .c2b: C:\PROGRA~1\INTERN~1\PLUGINS\npaoob32.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253


Und nu?

Warum erstellst du eigentlich das Log-File immer im abgesicherten Modus?

Überprüfe diese Datei bei http://virusscan.jotti.org/de und poste das Ergebnis:
C:\WINDOWS\SYSTEM\wucrtupd.exe

Hab ich gemacht:

kein Befund!

Ich dachte man soll das HjLog im abgesicherten Modus erstellen??
Ich nix Ahnung

Was jetzt?

Heraklit

Nein, ein Log-File erstellt man immer im normalen Modus.
Im abgesicherten Modus kann die Malware meist nicht aktiv werden, demzufolge erschwert es die Auswertung.

Eine Bereinigung mittels AV Scanner sollte immmer im abgesicherten Modus stattfinden.

EDIT:
wucrtupd.exe = http://www.sophos.de/virusinfo/analyses/w32tictona.html

Zitat:

W32/Ticton-A ist ein E-Mail-Wurm, der in einer E-Mail mit variierenden Betreffzeilen und Texten in spanischer Sprache versendet wird.

Erstelle nochmal ein neues Log-File im normalen Modus.

Ok - Danke!

Hier jetzt das Log File aus dem normalen Modus


Logfile of HijackThis v1.98.2
Scan saved at 13:42:41, on 30.09.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\ANTI-VIRUS-PROGR\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\SMSMANAGER\SMSMNGR.EXE
C:\PROGRAMME\TELEDAT\IWATCH.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ANTI-VIRUS-PROGR\HIJACKTHIS1982\HIJACKTHIS.EXE

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTI-VIRUS-PROGR\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\SMSMAN~1\SMSMngr.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Programme\TextBridge Classic\Bin\TBMenu.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O12 - Plugin for .c2b: C:\PROGRA~1\INTERN~1\PLUGINS\npaoob32.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253

dein system sieht gut aus!