xpupdate.exe (u.a.?) auf Win98 SE ?
 

Hallo Ihr Guten,

erstmal ein dickes Lob an Euch und Eure Arbeit !!!
Was ich hier so gelesen hab macht mir Hoffnung !
(Bin nämlich absoluter Laie......)

Jetzt zu meinem Problem.
Wir haben ein kleines Netzwerk mit 6 Rechnern (4xWinXP,1xWin98,1xUNIX)
Der Win98-PC ist mit Jana versehen, um den anderen 4 PC´s den Zugang
zum Internet zu ermöglichen.

Das Problem ist, das ein XP-Rechner total spinnt. (Irgendwelche PopUPs und Internetseiten werden geöffnet, Taskleiste und Desktopsymbole verändert sich, Systemwiederherstellung kann nur 1 Tag zurückgesetzt werden, u.s.w.)

Jetzt hab ich beim WIN98-PC über Taskmanager die XPupdate.exe gefunden und soweit möglich nach Anleitung von w*w.sophos.de versucht zu bereinigen. (Ist das überhaupt möglich ???)

Möchte jetzt nacheinander alle PC's überprüfen...................

Hier das HiJackThis Log-File des Win98-PC :

Logfile of HijackThis v1.99.1
Scan saved at 12:48:46, on 05.12.07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\JANA2\JANAD95.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\EIGENE DATEIEN\UACC\NOPDB.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HIJACK\HJT.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
O2 - BHO: (no name) - {B1ADFC17-64F8-4E7E-DA2B-3DE671860C90} - C:\WINDOWS\SYSTEM\LDUQDNDD.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WINUSI32] rundll32 WINUSI32.DLL,run
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [Janad95] C:\PROGRAMME\JANA2\JANAD95.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Euob] "C:\Eigene Dateien\uacc\nopdb.exe" -vt yazb
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.5.0_04) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab


Könnt Ihr da noch was schädliches feststellen ?

Vielen Dank

WINUSI32.DLL => Agent.vg, welcher auch mit Backdooreigenschaften in Verbindung gebracht wird.

C:\WINDOWS\SYSTEM\LDUQDNDD.DLL sieht auch seltam aus.

Deine Java Version ist sehr alt. Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

In der Summer würde ich den Rechner neu aufsetzen, am besten mit einem XP. Win 98 ist im Internet nicht mehr sicher unterwegs. Wenn der Rechner zu schwach ist, vlt. mal an Linux denken. Hier eine Anleitung für Win XP/2000.