Hallo,
hier die Auswertung des logfiles. kann mir jemand sagen, wie es weitergeht. Fixen ist klar, wie kann ich löschen und started dann mein System wieder oder wie hoch ist das risiko, habe momentan kein backupsystem.
danke
ulrich

Logfile of HijackThis v1.97.7
Scan saved at 13:56:08, on 26.10.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\ATI\ATIDESK\ATISCHED.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:search
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [syschk] syschk.exe /fastcheck
O4 - HKLM\..\RunServices: [Mass Storage Check Registry] rundll32.exe C:\WINDOWS\SYSTEM\ShellExt\MSDServ.dll,CheckRegist ry
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [syschk] syschk.exe /fastcheck
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: MSI SoftCooler.lnk = C:\Programme\MSI\SoftCooler\SoftCooler.exe
O4 - Startup: ATI Scheduler.lnk = C:\ati\atidesk\atisched.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/...ash/swflash.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\\c.mht!http://208.53.130.46/free/cnt/77002...hm::/dbtemp.exe
--------------------------------------------------------------------------------

hallo.

Lade dir mal Hijack This runter und poste das log hier. du hast nicht die aktuelle version.

Hallo und vielen Dank,

naja, die aktuelle Version hab ich jetzt, aber das kanns ja nicht sein? oder?
soviel habe ich nun selbst rausgefunden. Fixen ist löschen. Beim erstenmal gings nicht, war alles wie beim alten. beim 2ten fixen dann habe ich die files dann beim check nicht mehr gefunden, auch ist mein IE wieder normal. Und das mit der alten Version. Nach mehreren Neustarts ist alles OK geblieben.
Meine Frage nun, Ist das Zeug nun auch permanent gelöscht?

vielen Dank
Ulrich

Hallo,
meine Antwort ist schneller verschwunden als ich schauen konnte.
also hier nochmal:
Logfile of HijackThis v1.98.2
Scan saved at 21:57:08, on 31.10.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\ATI\ATIDESK\ATISCHED.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [Mass Storage Check Registry] rundll32.exe C:\WINDOWS\SYSTEM\ShellExt\MSDServ.dll,CheckRegistry
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: MSI SoftCooler.lnk = C:\Programme\MSI\SoftCooler\SoftCooler.exe
O4 - Startup: ATI Scheduler.lnk = C:\ati\atidesk\atisched.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll

hallo.

eigentlich sollte man die kritischen einträge im abgesicherten modus fixen, aber wenn sie weg sind... also ist dein hijack this-log jetzt sauber? du kannst es ja nochmal hier posten.

Probier doch mal diese Programme:

Spybot Search & Destroy
Adaware
Spy Sweeper (30-Tage-Testversion)
PestPatrol (Demoversion)

kann man immer mal laufen lassen, die finden einiges an unerwünschten programmen.

oder auch das hier:

Zitat:

Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis [falls was gefunden wurde] des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

100%ig sicher bist du die, es kann immer mal wieder was auf deinen rechner kommen. mein rezept:
1. guten virenscanner haben und regelmäßig updaten
2. alternativen browser statt Internet explorer verwenden (z.b.
Firefox )
3. windows regelmäßig updaten
4. ab und zu antispyware-programme laufen lassen
5. richtige konfiguartion von windows & co. (http://www.ntsvcfg.de/ oder www.dingens.org)
6. alternativen email-client verwenden (z.b. Thunderbird)
7. ggf. firewall verwenden
8. verantwortungsvolles surfverhalten
...
(alles gleich wichtig, reihenfolge ist keine wertung, ergänzungen möglich)

dein log sieht gut aus.

Hallo Wattewuschel,

das geht ja etrem fix hier, vielen Dank !! Deine Ratschläge in Ehren, da habe ich aber noch einiges zu lernen. Ich weiß zB nicht wie ich in den abgesicherten Modus komme. Diese Erscheinung hatte ich bisher nur als unerwünschten Vor-Absturz kennengelernt. Ich bin bei win98, soll ich da auf das aktuelle version updaten, oder win98 aktualisieren? Na und das richtige Konfigurieren von Windows ??? Da bin ich noch weit entfernt. Es scheint so als brauch man heute mehr Zeit sein Win system in Ordnung zu halten, als daß man es sinnvoll nutzen kann.
Ich dachte eigendlich mit Zonealarm und Antivir bin ich geschützt. ZA started ja immer, bevor ich ins Netz gehe.

Nochmals, herzlichen Dank für Deine Mühe.
LG
Ulrich

hallo.

also ich selbst habe win xp, aber das mit dem abgesicherten modus müßte auch bei win 98 funktionieren.

neustart, dann F8 drücken, bevor das windows-logo erscheint.

wenn du mit win 98 zurechtkommst, bleibt dabei! außerdem ist es nicht ganz billig, sich ein aktuelles windows-betriebssystem anzuschaffen.
bei xp gibt es alle paar tage bis wochen sicherheitsupdates, weiß gar nicht, ob es das für 98 auch gibt. bei xp gibt es unter start eine schaltfläche "windowsupdate". also ich meine eher eine aktualisierung (stopfen von sicherheitslücken durch sog. patches von microsoft).

zwecks der richtigen konfigurierung guck doch mal unter dem link in meinem vorherigen posting.

antivir ist (als kostenloses) virenproggi gut. aber regelmäßig updaten!!! software- bzw. desktopfirewalls sind nicht so sicher, wie man immer denkt.

hab da grad erst was interessantes gelesen:

hier dort unter dem abschnitt PF (personal firewalls)

besser dran ist man mit einem router, der eine firewall "eingebaut" hat (kosten ab ca. 40 €).

und mit den anti-spyware-programmen kann man auch ganz gut dazu beitragen, dass das system sauber bleibt.