Was darf ich nach HijackThis-Scan bedenkenlos löschen?

  • Hallo zusammen,


    ich wurde durch Google auf diese Seite geführt und hoffe, daß mir eventuell geholfen werden kann, auch wenn ich "nur" WIN 98 SE-Benutzer bin. Jedenfalls hatte ich gestern das Problem, daß ich die Startseite des IE nicht mehr verändern konnte, in der Adressleiste stand about: blank, geöffnet wurde aber das Fenster Search for... ! Nachdem ich Ad-aware erfolglos drüberlaufen hab lassen hat mir erst die neueste Version des CW-Shredders geholfen, so daß das Übel zum jetzigen Zeitpunkt nicht mehr besteht. Trotzdem habe ich mal mit HijackThis einen Scan gemacht und würde jetzt gerne wissen, ob möglicherweise einige der angezeigten Dateien/Befehle gefahrlos gelöscht werden können bzw. da nicht hingehören. Über fachkundige Hilfe wäre ich wirklich sehr dankbar.


    Folgendes wurde angezeigt:
    Logfile of HijackThis v1.97.7
    Scan saved at 20:33:30, on 06.05.04
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\EXPLORER.EXE
    C:\EIGENE DATEIEN 2\CFOS TREIBER\CFOSDW.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\SYSTEM\ATITASK.EXE
    C:\WINDOWS\SYSTEM\ATICWD32.EXE
    C:\PROGRAMME\CD-WRITER PLUS\DIRECTCD\DIRECTCD.EXE
    C:\WINDOWS\SYSTEM\QTTASK.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE
    C:\EIGENE DATEIEN 2\T- DSL\VOLUMENZäHLER\VOLUMENZAEHLER\BOVOLUME.EXE
    C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\WINDOWS\SYSTEM\SYSTEM.EXE
    C:\PROGRAMME\SCANNER CANON N670U\EREG\REMIND32.EXE
    C:\EIGENE DATEIEN 2\T-EUMEX 504 PC SE\ANWENDERSOFTWARE UPDATE\CAPICTRL.EXE
    C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
    C:\PROGRAMME\WINRAR\WINRAR.EXE
    C:\WINDOWS\TEMP\RAR$EX00.511\HIJACKTHIS.EXE


    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von CompuServe
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freenet.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.linksummary.com/
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\SCANNER CANON N670U\READER\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: (no name) - {DFC07A40-4D89-11D6-BB30-444553540000} - C:\WINDOWS\SYSTEM\MO030414S.DLL
    O2 - BHO: (no name) - {0845D8E1-7677-11D7-BB30-003042FFFD01} - C:\WINDOWS\SYSTEM\EOJLR.DLL
    O2 - BHO: (no name) - {31D7A660-CDDA-11D7-BB30-003042FFFD01} - C:\WINDOWS\SYSTEM\MO030414S.DLL
    O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\TWAINTEC.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [Atikey] Atitask.exe
    O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
    O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\CD-WRI~1\DIRECTCD\DIRECTCD.EXE
    O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
    O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
    O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE"
    O4 - HKLM\..\Run: [VolumeCounter] "C:\EIGENE DATEIEN 2\T- DSL\VOLUMENZäHLER\VOLUMENZAEHLER\BOVOLUME.EXE"
    O4 - HKLM\..\Run: [dfueconf] c:\eigene dateien 2\t-eumex 504 pc se\anwendersoftware update\dfueconf.exe
    O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Tastatur\KbdAp32A.exe
    O4 - HKLM\..\Run: [LWBMOUSE] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Maus\MOUSE32A.EXE
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [autoclk] autoclk.exe
    O4 - HKLM\..\Run: [ALCHEM] C:\WINDOWS\ALCHEM.exe
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
    O4 - HKCU\..\Run: [AKiller] "C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE"
    O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Eigene Dateien 2\cFos Treiber\SETUP.EXE -tipoftheday 0 -type16
    O4 - HKCU\..\Run: [System Update4] c:\windows\system\system.exe
    O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Scanner Canon N670U\EREG\REMIND32.EXE
    O4 - Startup: CAPI Control.lnk = C:\Eigene Dateien 2\T-Eumex 504 PC SE\Anwendersoftware Update\Capictrl.exe
    O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
    O9 - Extra button: Real.com (HKLM)
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.co…ve/cabs/flash/swflash.cab
    O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
    O16 - DPF: {C3FDA8CE-9414-4E33-AC6B-4922922259A5} - http://www.book-mark.net/flat.exe
    O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} (eConn Class) - http://econnect.libereco.net/econnect.cab
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/…-94901338C922/wmv9VCM.CAB
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/n…alInitialSetup1.0.0.6.cab


    Ist da etwas dabei, was eigentlich nicht hingehört.
    Im voraus schon mal vielen Dank für jegliche Bemühungen.

  • Bitte mit HijackThis fixen:

    Code
    1. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.linksummary.com/
    2. R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    3. O4 - HKLM\..\Run: [ALCHEM] C:\WINDOWS\ALCHEM.exe


    Diese Einträge:

    Zitat

    O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
    O16 - DPF: {C3FDA8CE-9414-4E33-AC6B-4922922259A5} - http://www.book-mark.net/flat.exe
    O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} (eConn Class) - http://econnect.libereco.net/econnect.cab
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/fu ... .0.0.6.cab


    kommen mir komisch vor, wenn du mit den Webseiten nichts sinnvolles verbinden kannst lösch die Einträge.
    Mit diesen Einträgen:

    Code
    1. O2 - BHO: (no name) - {DFC07A40-4D89-11D6-BB30-444553540000} - C:\WINDOWS\SYSTEM\MO030414S.DLL
    2. O2 - BHO: (no name) - {0845D8E1-7677-11D7-BB30-003042FFFD01} - C:\WINDOWS\SYSTEM\EOJLR.DLL
    3. O2 - BHO: (no name) - {31D7A660-CDDA-11D7-BB30-003042FFFD01} - C:\WINDOWS\SYSTEM\MO030414S.DLL


    kann ich nichts anfangen, vielleicht kann hier jemand helfen der Win98 kennt.
    Der Rest sieht IMHO gut aus. Infos zu den Einträgen von HijackThis gibts übrigens hier: http://www.trojaner-info.de/an…ckthis/htlogtutorial.html
    Du solltest im IE mindestens ActiveX deaktivieren, besser wäre ein Browserwechsel zu Opera, Mozilla oder Firefox.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

  • Hallo hyrican,


    vielen Dank für deine Bemühungen, das hilft mir doch schon weiter.


    Für weitere Infos und Ratschläge von anderen Autoren bin ich natürlich weiterhin empfänglich.

  • Moin,


    ich weiss nicht, ob es unter 98SE auch der Fall ist, aber das Phänomen mit der About:blank Startseite ist ein Virus, der sich Startpage nennt.
    Habe diesen neulich erst bei einem bekannten entfernt, der seine Startseite auch nicht mehr abändern konnte....

    Computervirus = Das Tschernobyl der Datenverarbeitung. In Erinnerung an Wau "Hacker" Holland!