trojaner lässt sich nicht entfernen!

[network-mama]

hallo!

hab grad bei einem bekannten alle von nikita empfohlenen dinge durchgeführt, da er einige trojaner, viren und co drauf hatte. einen trojaner krieg ich nicht runter. den mit raoa.exe
habs schon mit fixen probiert - kommt immer wieder. auch die startseite im ie explorer stellt sich ständig um!

hier mal die log-file:

Logfile of HijackThis v1.97.7
Scan saved at 22:11:06, on 19.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\D3GJ32.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\PROGRAMME\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\AONINFORMER\INFORMER.EXE
C:\WINDOWS\SYSTEM\APPFA32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\H I L F E\ANTI-TROJAN-55\ATWATCH.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\NDRV.EXE
C:\H I L F E\WEBROOT\WASHER\WWDISP.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\NIKON\NKVIEW5\NKVMON.EXE
C:\PROGRAMME\FOTOSTATION EASY\FOTOSTATION EASY AUTOLAUNCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\H I L F E\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\WINWT\WINWT32.DLL (file missing)
O2 - BHO: (no name) - {878CC698-FD93-47F4-86D6-BE3A5FD288D2} - C:\WINDOWS\APPDQ.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [jservice] C:\PROGRAMME\AONINFORMER\INFORMER.exe
O4 - HKLM\..\Run: [APPFA32.EXE] C:\WINDOWS\SYSTEM\APPFA32.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\H I L F E\ANTI-TROJAN-55\ATWatch.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [D3GJ32.EXE] C:\WINDOWS\D3GJ32.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [WNSC] C:\WINDOWS\SYSTEM\wnsintcc.exe
O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\SYSTEM\NDrv.exe
O4 - HKCU\..\Run: [Window Washer] C:\H I L F E\Webroot\Washer\wwDisp.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 4952430556


wie gesagt - er hat schon fast alle programme drauf, die nikita empfohlen hat - und ich hab jetzt auch alles durchgeführt - allerdings hab ich nirgendst die möglichkeit gefunden, im abgesicherten modus was zu machen. weger mit f2, f8 noch mit f12 bin ich da weitergekommen.

vielleicht kann mir da ja auch wer weiterhelfen, damit wir diesen home-pc wieder auf trab kriegen

Danke

nw-mama

[Nikita]

Hallo

bei Win98 gibt es keinen abgesicherten Modus


fixe bitte
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} -
O2 - BHO: (no name) - {878CC698-FD93-47F4-86D6-BE3A5FD288D2} - C:\WINDOWS\APPDQ.DLL
C:\WINDOWS\ANWENDUNGSDATEN\WINWT\WINWT32.DLL (file missing)
O4 - HKLM\..\RunServices: [D3GJ32.EXE] C:\WINDOWS\D3GJ32.EXE
O4 - HKCU\..\Run: [WNSC] C:\WINDOWS\SYSTEM\wnsintcc.exe
O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\SYSTEM\NDrv.exe
O4 - HKLM\..\Run: [APPFA32.EXE] C:\WINDOWS\SYSTEM\APPFA32.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

neustarten

1. Ueberpruefe
C:\WINDOWS\D3GJ32.EXE
C:\WINDOWS\SYSTEM\NDrv.exe
C:\WINDOWS\SYSTEM\APPFA32.EXE
mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
es sind bestimmt Viren...poste mal, was Kaspersky meint


2. # Start the registry editor

Start\Ausfuehren\regedit....ich weiss nicht, ob das das korrekte Kommando fuer Win98 ist, um in die Registry zu kommen

# Browse to the key:
'HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run'
# In the right pane, look values called 'WNST', 'WCPS' and 'WNSC', remember the files (*) they point to, delete the values.
# Exit the registry editor.
# Restart your computer.

3. dann loesche
C:\WINDOWS\SYSTEM\wnsintcc.exe
C:\WINDOWS\ANWENDUNGSDATEN\WINWT\WINWT32.DLL
C:\WINDOWS\APPDQ.DLL

3.1 Lade Bazooka
http://www.kephyr.com/spywarescanner/supportus.phtml

4. Lade die mwav.exe und scanne
http://www.mwti.net/antivirus/free_utilities.asp

5. Scanne mit Adaware
http://www.lavasoft.de/

6. Lade Spyhunter
http://www.spy-bot.net/manual.asp

7. Lade a2
http://www.emsisoft.de/de/software/free/

8. den IE aktualisieren auf IE 6 SP1
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx

9 . Firewall laden ..Sygate free...ganz unten auf der Site...scrollen
http://smb.sygate.com/products/spf_standard.htm

10. # Doppelklicken Sie in der Systemsteuerung auf Internetoptionen.
# Klicken Sie auf die Registerkarte Allgemein, und klicken Sie danach unter Temporäre Internetdateien auf Dateien löschen.


Dann dort eine neue Startseite einstellen

Dann poste das Log noch einmal plus der Infos von Kaspersky
ueber pruefe die raoa.exe...ich sehe sie nicht...auch mit Kaspersky

MfG
Nikita

http://www.kephyr.com/filedb/index.php? ... sintcc.exe