Hallo Leute...
danke für die Antworten.
@mastaluis:
Also eigentlich meine ich, daß ich richtig formatiere. Zuerst im BIOS die Boot-Reihenfolge "First Boot Device" auf "CD" gestellt. Danach neu gestartet mit der Recovery-CD. Aus dem Auswahlmenü " Mit CD-Rom-Unterstützung starten" gewählt, danach wartet der PC auf eine Eingabe die wie folgt aussieht:
D:
CD Win9x
Format C:
Dann noch bestätigen und es wird angezeigt, daß alle Daten auf der Festplatte (Laufwerk C) gelöscht werden. Habe ich eigentlich immer so gemacht. Ich hoffe doch, daß die gesamteKiste deleted wird
Hier ist das Ergebnis von HiJack von heute online:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:10:26, on 08.11.2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\Windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMME\VERSATEL\VERSATEL.EXE
C:\PROGRAMME\NETSCAPE\NAVIGATOR 9\NAVIGATOR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS202.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.Versatel.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.Versatel.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\Windows\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\Windows\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\Windows\SYSTEM\KB891711\KB891711.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
--
End of file - 2683 bytes
::::::::::::::::::::::.
:::::::::::::::::::::::::
@SirReklov: Ja kann sein. Bei meinen Recherchen habe ich auch erfahren, daß eScan schon mal vergeblich losmeckert.
Ich möchte dennoch sicher gehen, da ich vor dem Formatieren einige Schwierigkeiten hatte. (online--Pc nach 20-30 Min. ganz langsam---permanenter Zugriff auf das Laufwerk u.a.). Ja im Trojaner Board war ich auch, habe aber bis jetzt keine Antwort erhalten.
@ersguterjunge:
Was ist hier mit: Huh
Tue Nov 06 03:33:40 2007 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\Run: scanregistry !!!
Tue Nov 06 03:33:40 2007 => Object "kraze.b Virus" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Also den Eintrag-- hat mir auch schon jemand gesagt-- soll ich löschen, was ich auch gemacht habe.
Das Sophos Zeugs habe ich mal runtergeladen. Als ich das Prog. installieren wollte, hat es sich zwar entpackt, doch dann kamen ein paar mal komische Meldungen, wo nur ein Fragezeichen drauf war und wo ich mit ja oder nein bestätigen mußte. Hab´s wieder gelöscht.
Zu den in Deinem Link angegebenen Pfaden! Dort steht: Wenn er zum ersten Mal ausgeführt wird, kopiert sich W32/Kraze-B nach:
<Start>\WinZip Quick Pick.exe
\WINZIP_TMP.exe
<Windows>\Rundll16.exe
<Windows>\WINZIP_TMP.exe
<System>\scanregw.exe
Also aus Win
Zip Quick Pick.exe und WINZIP_TMP.exe werd ich nich schlau. Rundll16.exe und scanregw.exe werden vom
Windows Explorer gefunden (Start->Suchen->Dateien/Ordner). WINZIP_TMP.exe wird nich gefunden( Falls das überhaupt eine Datei ist).
Er erstellt die folgenden Dateien:
<Benutzer>\Local Settings\Temp<Originaler Dateiname des Trojaners>
<Windows>\Tasks\At1.job - kann gelöscht werden
<Windows>\Tasks\At1.job - kann gelöscht werden
Wo Benutzer? Wo müßte ich denn da suchen? At1.job wurde nicht gefunden. Im Ordner Windows/TASKS befindet sich als job-Datei nur: PCHealth-Planer für die Zusammenstellung der Daten.job und Programmstart beschleunigen.job und DESKTOP.ini.
Der folgende Registrierungseintrag wird erstellt, damit scanregw.exe beim Start ausgeführt wird:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ScanRegistry
scanregw.exe /scan
Der Eintrag war in der
Registry vorhanden--habe ich bereits manuell gelöscht.Aber was ist mit der scanregw.exe die ich oben gefunden habe?
Nochmal danke
Gruss
Sternlilly