Trojaner und andere Fehler

[imp]

Hallo,
ich bin neu hier im Forum und hoffe hier endlich Hilfe zu finden
Ich sitz gerade am Rechner von meinem Vater, der mich gerufen hat aufgrund eines SpyWare Problems. Naja, "SpySheriff" hatte sich eingenistet und ich glaube ich habe ihn komplett wegbekommen. Danach habe ich Antivir installiert und bei jedem Systemstart kommen erst einmal 5-6 Trojaner Warnungen (u.a. ALG.exe, OEM.exe, MM5/MM6.exe, KILLER.exe, SOCKS.exe). Diese nerven nur und ich würde sie gerne entfernen. Außerdem kommt bei jedem Start ein Windows Fehler, mit der Meldung, dass er die Datei "ibm00001.exe" nicht finden kann. Ich habe schon CleanUp drüber laufen lassen. Ich poste einfach schonmal das Log von Hijack

Logfile of HijackThis v1.99.1
Scan saved at 14:15:37, on 25.05.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\INET20019\WINLOGON.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\FRITZ!DSL\IGDCTRL.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\INET20019\SELECT.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\POWERARCHIVER\POWERARC.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.eunet.ch:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
F1 - win.ini: run=C:\WINDOWS\INET20019\WINLOGON.EXE
O2 - BHO: CometCursor Class - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - C:\WINDOWS\SYSTEM\COMET.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX (file missing)
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20019\3.03.00.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [MyCometCursor] C:\PROGRA~1\COMET\MYCOME~1.EXE -quiet
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [IGDCTRL] "C:\Programme\FRITZ!DSL\IGDCTRL.EXE"
O4 - HKLM\..\Run: [SysTray] C:\PROGRAM FILES\QFOA.EXE
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INET20019\WINLOGON.EXE
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\SYSTEM\0mcamcap.exe
O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\INET20019\SOCKS.EXE
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\SYSTEM\0mcamcap.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INET20019\WINLOGON.EXE
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\SYSTEM\0mcamcap.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {233A9694-667E-11d1-9DFB-006097D5040A} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {1678F7E1-C422-11D0-AD7D-00400515CAAA} (CometCursor Class) - http://files.cometsystems.com/cometcurs ... /comet.cab
O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-/conv.repon.info/chm//x.chm::/open.exe

Windowsupdates hab ich auch ausgeführt (23 Stück ^^).
Ich hoffe mir kann jemand weiterhelfen.

Mfg imp

[Nikita]

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

[imp]

system32:

Code: Alles auswählen

Datentr„ger in Laufwerk C: hat keine Bezeichnung
Seriennummer des Datentr„gers: 0813-19E5
Verzeichnis von C:\WINDOWS\SYSTEM32

FOLDER   HTT        13.085  11.07.00  18:39 folder.htt
DESKTOP  INI           266  11.07.00  18:39 desktop.ini
         2 Datei(en)                13.351 Bytes
         0 Verzeichnis(se)       13.113,98 MB frei

temp:

Code: Alles auswählen

Datentr„ger in Laufwerk C: hat keine Bezeichnung
Seriennummer des Datentr„gers: 0813-19E5
Verzeichnis von C:\WINDOWS\TEMP

IMPRES~1 LOG           874  25.05.06  22:42 impression.log
         1 Datei(en)                   874 Bytes
         0 Verzeichnis(se)       13.113,94 MB frei

system:

Code: Alles auswählen

Datentr„ger in Laufwerk C: hat keine Bezeichnung
Seriennummer des Datentr„gers: 0813-19E5
Verzeichnis von C:\WINDOWS

USER     DAT     1.331.232  25.05.06  23:21 USER.DAT
SYSTEM   DAT     6.586.400  25.05.06  23:20 SYSTEM.DAT
WIN386   SWP   276.824.064  25.05.06  23:19 WIN386.SWP
WIN      INI         8.693  25.05.06  22:20 WIN.INI
SCHEDLOG TXT        32.656  25.05.06  21:48 SchedLog.Txt
SYSTEM   INI         2.401  25.05.06  21:47 SYSTEM.INI
NDISLOG  TXT             0  25.05.06  21:47 NDISLOG.TXT
OEMEXE~1 BAK        47.616  25.05.06  21:45 OEM.exe.bak
DOSSTART BAT           123  25.05.06  17:51 DOSSTART.BAT
DOSSTART FM            123  25.05.06  17:51 DOSSTART.FM
SHELLI~1           640.409  25.05.06  17:50 ShellIconCache
WININIT  BAK            44  25.05.06  13:58 WININIT.BAK
WAVEMIX  INI            54  25.05.06  13:40 WAVEMIX.INI
POWERPNT INI            60  25.05.06  13:40 POWERPNT.INI
WINDOW~1 LOG        16.682  25.05.06  13:34 Windows Update.log
DAHOTFIX LOG         6.673  25.05.06  13:28 dahotfix.log
VMINST   LOG         2.148  25.05.06  13:28 vminst.log
REGSAV~1 TXT         2.241  25.05.06  13:27 Reg Save Log.txt
PROGMAN  INI            36  25.05.06  13:27 progman.ini
HOSTS    SAM           736  25.05.06  11:42 HOSTS.SAM
SYSTEM   CB            116  25.05.06  11:39 SYSTEM.CB
TWAIN    LOG           547  23.05.06  23:07 TWAIN.LOG
TWAIN001 MTX             5  23.05.06  23:07 Twain001.Mtx
MOZVER   DAT         8.070  19.05.06  18:00 mozver.dat
CFSETUP  TXT        77.416  19.05.06  11:52 CFSETUP.TXT
CFOSDS~1 LOG         1.659  19.05.06  11:51 cFos DSL, Internet, PPPoE.log
SCHMITT  PWL         1.222  19.05.06  11:51 SCHMITT.PWL
TELEPHON INI           225  15.05.06  15:34 TELEPHON.INI
BRNDLOG  TXT         6.004  15.05.06  15:33 brndlog.txt
BRNDLOG  BAK           227  15.05.06  15:33 brndlog.bak
RUNONC~1 TXT        17.390  15.05.06  15:33 RunOnceEx Log.txt
ACTIVE~1 TXT        17.111  15.05.06  15:31 Active Setup Log.txt
IESETU~1 TXT       108.912  15.05.06  15:29 IE Setup Log.Txt
ACCESS~1 LOG           251  15.05.06  15:26 accessdll.log
_DELIS32 INI             0  15.05.06  15:26 _delis32.ini
AVMADD32 LOG         1.474  15.05.06  15:26 avmadd32.log
WINMINE  INI           174  09.04.06  20:27 winmine.ini

sys:

Code: Alles auswählen

Datentr„ger in Laufwerk C: hat keine Bezeichnung
Seriennummer des Datentr„gers: 0813-19E5
Verzeichnis von C:\

SYS      TXT             0  25.05.06  23:22 sys.txt
SYSTEM   TXT        24.091  25.05.06  23:21 system.txt
SYSTEM~1 TXT           294  25.05.06  23:21 systemtemp.txt
SYSTEM32 TXT           351  25.05.06  23:20 system32.txt
SMITFI~1 TXT         2.731  25.05.06  21:53 smitfiles.txt
SCANDISK LOG        17.652  25.05.06  21:47 SCANDISK.LOG
AUTOEXEC FM            290  25.05.06  17:51 AUTOEXEC.FM
AUTOEXEC BAT           290  25.05.06  17:51 AUTOEXEC.BAT
BOOTLOG  TXT        65.814  25.05.06  12:50 BOOTLOG.TXT
BOOTLOG  PRV        65.814  25.05.06  12:28 BOOTLOG.PRV
NTBO     EXE        32.768  25.05.06   7:23 ntbo.exe
UNIQ                     0  22.05.06  21:54 uniq
CONFIG   SYS           190  19.05.06  12:00 CONFIG.SYS

echo:

Code: Alles auswählen

10)DPF????

Datentr„ger in Laufwerk C: hat keine Bezeichnung
Seriennummer des Datentr„gers: 0813-19E5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

.              <DIR>        11.07.00  18:39 .
..             <DIR>        11.07.00  18:39 ..
MICROS~1 OSD         1.162  05.11.98  16:11 Microsoft XML Parser for Java.osd
DIRECT~1 OSD           697  14.10.97  18:52 DirectAnimation Java Classes.osd
INTERN~1 OSD           562  16.04.99   4:30 Internet Explorer Classes for Java.osd
WMVAX    INF         1.988  01.05.00  19:06 wmvax.inf
MSAUDIO  INF           992  18.11.99  13:49 msaudio.inf
ERMA     INF         1.249  24.01.05  11:38 erma.inf
IUCTL    INF         1.050  26.08.03   9:53 iuctl.inf
         7 Datei(en)                 7.700 Bytes

Dateien gesamt:
         7 Datei(en)                 7.700 Bytes
         2 Verzeichnis(se)       13.123,33 MB frei

Ich hoffe du kannst mir weiterhelfen Danke schonmal

mfg imp

[Nikita]

1.
Gehe in die Registry
suche /loesche:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webHancer Agent


2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

F1 - win.ini: run=C:\WINDOWS\INET20019\WINLOGON.EXE
O2 - BHO: CometCursor Class - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - C:\WINDOWS\SYSTEM\COMET.DLL
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20019\3.03.00.dll
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
O4 - HKLM\..\Run: [MyCometCursor] C:\PROGRA~1\COMET\MYCOME~1.EXE -quiet
O4 - HKLM\..\Run: [SysTray] C:\PROGRAM FILES\QFOA.EXE
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INET20019\WINLOGON.EXE
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\SYSTEM\0mcamcap.exe
O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\INET20019\SOCKS.EXE
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\SYSTEM\0mcamcap.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INET20019\WINLOGON.EXE
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\SYSTEM\0mcamcap.exe
O16 - DPF: {1678F7E1-C422-11D0-AD7D-00400515CAAA} (CometCursor Class) - http://files.cometsystems.com/cometcurs ... /comet.cab
O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-conv.repon.info/chm//x.chm::/open.exe

PC neustarten

3.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .......

C:\WINDOWS\INET20019\SELECT.EXE
C:\WINDOWS\INET20019\WINLOGON.EXE
C:\WINDOWS\INET20019\SERVICES.EXE
C:\WINDOWS\INET20019\SOCKS.EXE
C:\WINDOWS\inet20019\3.03.00.dll
C:\WINDOWS\SYSTEM\0mcamcap.exe
C:\PROGRAM FILES\QFOA.EXE
C:\ntbo.exe
C:\uniq
C:\WINDOWS\SYSTEM\COMET.DLL

PC neustarten

4.
loeschen:
C:\WINDOWS\INET20019\

5.
deinstallieren:
C:\Program Files\webHancer
C:\PROGRA~1\COMET

---------------------------------------------------------------------------------
6.
ich weiss nicht, ob das auf win98 funktioniert..........

win32delfkil.exe
http://users.telenet.be/marcvn/tools/win32delfkil.exe
Save it on your desktop.
Double click on win32delfkil.exe and install it. This creates a new folder on your desktop: win32delfkil Close all windows, open the win32delfkil folder and double click on fix.bat.

7.
Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab

8.
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html

[imp]

Hi,
danke schonmal. DIe AntiVir-Meldungen am Anfang sind alle weg Fantastisch. Bis jetzt meldet sich nur noch dieser "ibm00001.exe" Fehler. Nur konnte ich folgende Dateien nicht finden/löschen
C:\WINDOWS\INET20019\SERVICES.EXE
C:\WINDOWS\INET20019\SOCKS.EXE
C:\WINDOWS\inet20019\3.03.00.dll
C:\WINDOWS\SYSTEM\0mcamcap.exe
C:\PROGRAM FILES\QFOA.EXE

Kann sein dass ich sie schonmal entfernt habe ?!

Counterspy-Log:

Code: Alles auswählen

Spyware Scan Details
Start Date: 27.05.06 18:16:41
End Date: 27.05.06 18:47:57
Total Time: 31 mins 16 secs

Detected spyware

Claria.GAIN.CommonElements Adware (General)  more information...
Details: Claria's GAIN network consists of several applications inlcuding Gator eWallet, GotSmiley, ScreenSeenes, WebSecureAlert, DashBar, Weatherscope, Date Manager and Precision Time.
Status: Deleted

Infected files detected
c:\windows\gatorfiledrop.log

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\gator.com
HKEY_LOCAL_MACHINE\software\gator.com SetupStartedMessageSent 1


webHancer Adware (General)  more information...
Details: WebHancer is an adware application started at Windows startup that monitors web sites being viewed and sends performance data on them back to webHancer's servers. This occurs unknown to the user.
Status: Deleted

Infected files detected
c:\windows\whinstaller.exe
c:\windows\webhdll.dll
c:\windows\whagent.inf
c:\windows\whinstaller.ini

Infected registry entries detected
HKEY_CLASSES_ROOT\interface\{c89435b0-cdfe-11d3-976a-00e02913a9e0}
HKEY_CLASSES_ROOT\interface\{c89435b0-cdfe-11d3-976a-00e02913a9e0}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{c89435b0-cdfe-11d3-976a-00e02913a9e0}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{c89435b0-cdfe-11d3-976a-00e02913a9e0}\TypeLib {C8CB3870-CDFE-11D3-976A-00E02913A9E0}
HKEY_CLASSES_ROOT\interface\{c89435b0-cdfe-11d3-976a-00e02913a9e0}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\interface\{c89435b0-cdfe-11d3-976a-00e02913a9e0} IWhIeHelperObj
HKEY_CLASSES_ROOT\typelib\{c8cb3870-cdfe-11d3-976a-00e02913a9e0}
HKEY_CLASSES_ROOT\typelib\{c8cb3870-cdfe-11d3-976a-00e02913a9e0}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\typelib\{c8cb3870-cdfe-11d3-976a-00e02913a9e0}\1.0\0\win32 C:\PROGRAM FILES\WEBHANCER\PROGRAMS\WHIEHLPR.DLL
HKEY_CLASSES_ROOT\typelib\{c8cb3870-cdfe-11d3-976a-00e02913a9e0}\1.0\HELPDIR C:\PROGRAM FILES\WEBHANCER\PROGRAMS\
HKEY_CLASSES_ROOT\typelib\{c8cb3870-cdfe-11d3-976a-00e02913a9e0}\1.0 IWhIeHelperObj 1.0 Type Library
HKEY_LOCAL_MACHINE\software\webhancer
HKEY_LOCAL_MACHINE\software\webhancer\CC DistTag SPEAKMAIL
HKEY_LOCAL_MACHINE\software\webhancer\CC id 350847
HKEY_LOCAL_MACHINE\software\webhancer
HKEY_LOCAL_MACHINE\software\webhancer BaseDir C:\Program Files\webHancer
HKEY_LOCAL_MACHINE\SOFTWARE\webHancer BaseDir C:\Program Files\webHancer
HKEY_CLASSES_ROOT\Interface\{C89435B0-CDFE-11D3-976A-00E02913A9E0}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\TypeLib\{C8CB3870-CDFE-11D3-976A-00E02913A9E0}\1.0\0
HKEY_CLASSES_ROOT\TypeLib\{C8CB3870-CDFE-11D3-976A-00E02913A9E0}\1.0\0\win32 C:\PROGRAM FILES\WEBHANCER\PROGRAMS\WHIEHLPR.DLL


IEPlugin Adware (General)  more information...
Details: IEPlugin is an IE Browser Helper Object that monitors site addresses, content entered into forms, and even local filenames browsed, and pops up advertisements when it sees a targeted keyword.
Status: Deleted

Infected files detected
c:\windows\extract.exe


CoolWebSearch Hijacker  more information...
Details: CoolWebSearch is a name given to a wide range of different browser hijackers. Though the code is very different between variants, they are all used to redirect users to coolwebsearch.com and other sites affiliated with its operators.
Status: Deleted

Infected files detected
c:\windows\favoriten\search the web.url


Backdoor Killer 1.1 Backdoor  more information...
Details: Backdoor Killer 1.1 is a trojan which remotely control's the user's PC.
Status: Deleted

Infected files detected
c:\windows\icmpbomb.ini


Looking-For.Home Search Assistant Hijacker  more information...
Details: Home Search Assistant is an Internet Explorer browser helper object (BHO) that changes the user's home page and modifes search results. It also spawns pop-ups on the desktop.
Status: Deleted

Infected files detected
c:\windows\anwendungsdaten\install.dat


KaZaA P2P Program  more information...
Details: Kazaa is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\software\kazaa
HKEY_CURRENT_USER\software\kazaa\Morpheus\Download Width 0 146
HKEY_CURRENT_USER\software\kazaa\Morpheus\Download Width 1 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Download Width 2 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Download Width 3 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Download Width 4 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Download Width 5 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Download Width 6 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Download Width 7 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Download Width 8 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Upload Width 0 146
HKEY_CURRENT_USER\software\kazaa\Morpheus\Upload Width 1 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Upload Width 2 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Upload Width 3 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Upload Width 4 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Upload Width 5 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Upload Width 6 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Upload Width 7 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\Upload Width 8 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\ColumnOrder Audio 0,1,2,3,4,5,6,7,8,9,0,
HKEY_CURRENT_USER\software\kazaa\Morpheus\ColumnWidths Audio 70,70,70,70,70,70,70,70,70,70,70,
HKEY_CURRENT_USER\software\kazaa\Morpheus\CombinedSortedColumns Audio -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-
HKEY_CURRENT_USER\software\kazaa\Morpheus\ColumnSortStates1 Audio 0
HKEY_CURRENT_USER\software\kazaa\Morpheus\ColumnSortStates2 Audio 0


Aureate/Radiate Adware (General)  more information...
Details: Aureate, also known as Radiate is ad supposrted software that sends personall information to its servers over the Internet without user consent.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\aureate
HKEY_USERS\.default\software\aureate
HKEY_USERS\.default\software\aureate\Advertising\Demographics User ID


Onflow Adware (General)  more information...
Details: Onflow is a rich media player with a silent update feature.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\onflow
HKEY_LOCAL_MACHINE\software\onflow OFMID 2054
HKEY_LOCAL_MACHINE\software\onflow Install Date 03/29/01 16:27:25
HKEY_LOCAL_MACHINE\software\onflow Internet Explorer 5.00 - Plugins C:\Programme\Internet Explorer\Plugins
HKEY_LOCAL_MACHINE\software\onflow Internet Explorer 5.00 - Time 03/29/01 16:27:25
HKEY_LOCAL_MACHINE\software\onflow OFPID 2716990


Netbus Commercial Remote Control Tool  more information...
Details: NetBus allows a remote user to access and control your machine by way of its Internet link.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Aureate
HKEY_CURRENT_USER\Software\Aureate\Advertising\Demographics User ID


Isoaq v0.70 Trojan  more information...
Details: 'JUST BY GETTING SOMEONE'S DB FILES AND USING THIS PATCH YOU CAN: STEAL VICTIM'S PASSWORD, LOAD THEIR CONTACT LIST, VIEW THEIR HISTORY, LOG ON TO THE SERVER PRETENDING YOU'RE THEM, RECEIVE SERVER-STORED MESSAGES WHICH ARE SUPPOSED TO BE GOTTEN BY THE
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\BNL
HKEY_CURRENT_USER\Software\BNL\ISoaQ PTAutoStartICQ 0
HKEY_CURRENT_USER\Software\BNL\ISoaQ PTStartMinimized 0
HKEY_CURRENT_USER\Software\BNL\ISoaQ PTICQVerIndex 0
HKEY_CURRENT_USER\Software\BNL\ISoaQ PTICQPathFName C:\Programme\ICQ\icq.exe
HKEY_CURRENT_USER\Software\BNL\ISoaQ PTAutoClosePTICQTerm 0
HKEY_CURRENT_USER\Software\BNL\ISoaQ PTAutoMinimPTICQTerm 1
HKEY_CURRENT_USER\Software\BNL\ISoaQ PTNoAuthSearchMode 0
HKEY_CURRENT_USER\Software\BNL\ISoaQ PTALC
HKEY_CURRENT_USER\Software\BNL\ISoaQ PTALCW
HKEY_CURRENT_USER\Software\BNL\ISoaQ PTLogStatusTxt 1
HKEY_CURRENT_USER\Software\BNL\ISoaQ PTLogCLHistory 1
HKEY_CURRENT_USER\Software\BNL\ISoaQ PTSavedICQAppPath C:\Programme\ICQ\ICQ.exe


Krepper Trojan Downloader  more information...
Details: Krepper is a trojan that modifies website surfing to display advertising, and downloads additional threats
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\Replace.HBO
HKEY_CLASSES_ROOT\Replace.HBO\CLSID {5321E378-FFAD-4999-8C62-03CA8155F0B3}
HKEY_CLASSES_ROOT\Replace.HBO\CurVer Replace.HBO.1
HKEY_CLASSES_ROOT\Replace.HBO HBO Class
HKEY_CLASSES_ROOT\Replace.HBO.1
HKEY_CLASSES_ROOT\Replace.HBO.1\CLSID {5321E378-FFAD-4999-8C62-03CA8155F0B3}
HKEY_CLASSES_ROOT\Replace.HBO.1 HBO Class


Trojan.Proxy.Atiup Trojan  more information...
Details: Trojan.Proxy.Atiup is a trojan that runs as a proxy on the infected machine.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft ATI_VER


Morpheus P2P Program  more information...
Details: P2P file sharing program that installs a number of adware programs. Morpheus also displays its own popup advertsing.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Morpheus
HKEY_CURRENT_USER\Software\Morpheus\UserDetails UserName haz24swd
HKEY_CURRENT_USER\Software\Morpheus\UserDetails Password ca603e47bfe84179f6005f3d6b5d35ef
HKEY_CURRENT_USER\Software\Morpheus\UserDetails PasswordLength 8
HKEY_CURRENT_USER\Software\Morpheus\Transfer DlDir0 C:\Programme\Morpheus\My Shared Folder
HKEY_CURRENT_USER\Software\Morpheus LimitBitrate 1


Trojan.Delf.MM Trojan  more information...
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\Replace.HBO.1
HKEY_CLASSES_ROOT\Replace.HBO.1\CLSID {5321E378-FFAD-4999-8C62-03CA8155F0B3}
HKEY_CLASSES_ROOT\Replace.HBO.1 HBO Class
HKEY_CLASSES_ROOT\Replace.HBO
HKEY_CLASSES_ROOT\Replace.HBO\CLSID {5321E378-FFAD-4999-8C62-03CA8155F0B3}
HKEY_CLASSES_ROOT\Replace.HBO\CurVer Replace.HBO.1
HKEY_CLASSES_ROOT\Replace.HBO HBO Class


Advertising.com Cookie (General)  more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\windows\cookies\schmitt@advertising[1].txt


Den Online-Scan bekomm ich irgendwie nicht hin. Anscheinend ist mein Active X geblockt und das mit dem Reg-Schlüssel erstellen versteh ich nicht ganz. Habe ihn erstellt aber soll ich da noch was eintragen ? Bis jetzt habe ich nur noch das Problem mit der ibm00001.exe (ich schätze Windows Fehler, kein Spyware oder sonstiges). Vielleicht kannst du mir ja trotzdem weiterhelfen ? Danke

mfg imp

[Nikita]

poste das neue Log vom HijackThis
+

scanne mit diesen zwei Proggies und poste den scanreport
http://securityresponse.symantec.com/av ... x180Sh.exe
http://securityresponse.symantec.com/av ... Ieplgn.exe

+
versuche den Onlinescan mit Kaspersky + Bitdefender (ScanOnline neu -)
http://virus-protect.org/onlinescan.html

[imp]

Sorry ich bekomms einfach nicht hin einen Online-Scan zu starten....Sicherheit steht auf Mittel im IE und ich bin Admin auf dem Rechner. Ich weiß auch nicht. Hier jedenfalls mal die Logs:

Hijack-Log:

Code: Alles auswählen

Logfile of HijackThis v1.99.1
Scan saved at 20:06:03, on 28.05.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\FRITZ!DSL\IGDCTRL.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNSERVER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\DOWNLOADS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.eunet.ch:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [IGDCTRL] "C:\Programme\FRITZ!DSL\IGDCTRL.EXE"
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [SunServer] C:\PROGRAMME\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\sunserver.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {233A9694-667E-11d1-9DFB-006097D5040A} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/

Code: Alles auswählen

Symantec Adware.180Search and Adware.NCase Removal Tool 1.0.5

Adware.180Search and Adware.NCase have not been found on your computer.

Code: Alles auswählen

Symantec Adware.IEPlugin Removal Tool 1.0.5


registry: HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main: Enable Browser Extensions (value deleted)
c:\WINDOWS\Temporary Internet Files\Content.IE5\4HWBOVKV\pixel_trans[1].gif: (deleted)

registry: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main: Search Bar (value deleted)
registry: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main: Use Custom Search URL (value deleted)
registry: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl (key deleted)
registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main: Search Bar (value deleted)
registry: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components: GeneralFlags (value set to 0x00000004 (4))

Adware.IEPlugin has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 25640
The number of deleted files: 1
The number of threat processes terminated: 0
The number of other processes terminated: 0
The number of registry entries fixed: 6

mfg imp

[Nikita]

1.
loesche:
C:\WINDOWS\OEM.exe.bak

2.
nun scanne noch mal mit dem Antivirus und berichte, ob etwas gefunden wurde. (scanreport)

[imp]

Hi,
hab vergessen OEM.exe.bak vorher zu löschen dass hat nun AntiVir gemacht. Hier der report:

Code: Alles auswählen

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 29. Mai 2006  13:03


Job Name: 'Lokale Laufwerke'

Es wird nach 390394 Virenstämmen gesucht.

Lizenznehmer:       AntiVir PersonalEdition Classic
Seriennummer:       0000149996-WURGE-0001
Plattform:          Windows 98
Windowsversion:     ( A ) [4.10.2222]  (Windows 98 ]
Benutzername:       Schmitt
Computername:       SCHMITT

Versionsinformationen:
AVSCAN.EXE     : 7.0.0.35     401448    21.04.06 12:46:46
AVSCAN.DLL     : 7.0.0.34     53288     05.04.06 11:03:50
LUKE.DLL       : 7.0.0.34     110632    05.04.06 11:03:50
LUKERES.DLL    : 7.0.0.34     32808     05.04.06 11:03:50
ANTIVIR0.VDF   : 6.32.0.60    4323840   02.05.06 08:28:48
ANTIVIR1.VDF   : 6.34.1.87    2215424   25.05.06 09:52:44
ANTIVIR2.VDF   : 6.34.1.112   75776     25.05.06 09:52:44
ANTIVIR3.VDF   : 6.34.1.141   38400     25.05.06 09:52:44
AVEWIN32.DLL   : 7.0.0.11     1229312   25.05.06 09:52:48
AVPREF.DLL     : 6.34.0.0     32808     18.01.06 12:05:38
AVREP.DLL      : 6.34.1.130   430120    25.05.06 09:52:46
AVPACK32.DLL   : 7.0.0.4      335912    29.03.06 09:44:04
AVREG.DLL      : 6.31.0.90    25128     28.07.05 10:06:00
NETNT.DLL      : Keine Information!
NETNW.DLL      : 6.32.0.0     9768      27.09.05 07:56:44


Beginn des Suchlaufs: Montag, 29. Mai 2006  13:03


Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'A:'
      [HINWEIS]   Im  Laufwerk 'A:' ist kein Datenträger eingelegt!

Scan der Registry auf Verweise zu ausführbaren Dateien.

Die Registry wurde durchsucht ( 40 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\WINDOWS\WIN386.SWP
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\OEM.exe.bak
      [FUND]      Ist das Trojanische Pferd TR/Proxy.Agent.JW.1
      [INFO]      Die Datei wurde gelöscht.
C:\WINDOWS\TEMP\backups\backup-20060525-225958-611
      [FUND]      Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml
      [INFO]      Die Datei wurde gelöscht.
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Montag, 29. Mai 2006  13:24
Benötigte Zeit: 21:31 min

Der Suchlauf wurde vollständig durchgeführt.

   1640 Verzeichnisse wurden überprüft
  83036 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      2 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
    762 Archive wurden durchsucht
      1 Warnungen
      0 Hinweise

[Nikita]

es muesste wieder alles in Ordnung sein

[imp]

Sieht so aus. Nur kommt beim Systemstart immernoch der Fehler, dass er die Datei "ibm00001.exe" oder eine ihrer Komponenten nicht finden kann. (Pfad sicherstellen etc). AUßerdem funktioniert die Defragmentierung nicht er bleibt bei 0% stehen. Das sind noch meine einzigen Probleme.
Vielen Dank für die Hilfe bis jetzt Hat sich wirklich gelohnt hier im Forum zu posten. Nur die 2 kleinen Fehler oben stören mich noch

mfg imp

[Nikita]

suche in der registry: ibm00001.exe
loesche alles raus, was du findest und starte den Rechner neu.
+
berichte

[imp]

Hi,
also ích hab folgendes in einem anderem Forum gefunden:

Code: Alles auswählen

Dieser Bereich ist für technische Experten vorgesehen, die detaillierte Informationen über diesen Virus wünschen.

Troj/Torpig-I ist ein Kennwort stehlender Trojaner für die Windows-Plattform.

Sobald Troj/Torpig-I gestartet wird, werden einige oder alle der folgenden Dateien entweder im Ordner C:\Programme\Common Files\Microsoft Shared\Web Folders oder im Ordner <System>\..\temp: erstellt:

ibm00001.dll
ibm00001.exe
ibm00002.dll

Der Trojaner versucht, Kennwörter zu stehlen sowie Tastenfolgen und Titel offener Fenster in Textdateien zu speichern. Er sendet regelmäßig die gesammelten Daten an einen remoten Anwender über HTTP.

Troj/Torpig-I schließt automatisch Sicherheitswarnungen, die von üblichen Antiviren- und Sicherheitsanwendungen angezeigt werden. 

Ich habe die Registry und den PC nach den 3 Dateien durchsucht. Ein registry-Eintrag gefunden und diesen gelöscht. Aber die Meldung beim Systemstart ist immer noch da. Ich denke mal dass der Trojaner nicht mehr arbeitet aber am Anfang starten will und deshalb die Mekldung bringt, dass er diese ibm00001.exe nicht finden kann.

[Nikita]

das ist meine Seite zum Problem:
http://virus-protect.org/artikel/spyware/ibm00000.html

------

An entry may be added to the file SYSTEM.INI in the "boot" section with a key name of "shell" to attempt to run ibm00001.exe on startup.

du muesstest also die datei suchen im SYSTEM.INI unter "shell"
dort muesstest du sie finden.

da ich mich aber mit dem Steinzeitsystem win98 nicht auskenne, und viele Antivirentools auf diesem System nicht laufen.. musst du selbst sehen, wie du in die System.ini kommst

[imp]

Hallo,
hab das Problem lösen können. Mit Start->Ausführen->Msconfig und dann unter System.ini nach ibm EIntrag gesucht und Häkchen entfernt

Vieeeeleeen Dank nochmal für deine Hilfe

mfg imp