FloMi

Hi leute, ich hoffe ich bin hier richtig.
ich hab folgendes problem: mein pc ist seit kurzen ziemlich langsam (braucht manchmal über ne minute um nen ordner zu öffnen) und öffnet ständig irgendwelche internetseiten ( unteranderem so einen virusscanner, den ich gar nicht kenne, also nicht auf dem pc hab)
CPU auslastung ist heut schon den ganzen tag durchgängig bei 100% 8o

ich weiss nicht, ob das ganze problem daherrührt, aber ich hab letztens son linux- skin für mein xp runtergeladen und seit dem kommt das immer.

hab die dateien natürlich deinstalliert etc. hat aber nix gebracht.

Dann ist mir aufgefallen, dass immer wenn sich ne i-net seite geöffnet hat da was von nem programm namens whenu save oder so stand.
hab das unter programmegesucht und auch deinstalliert.

Bin heute nochmal alle programme durchgegangen und dabei auf nen ordner namens Hb Tools gestossen. daraufhin hab ich in diesem den ordner HBTV geöffnet, woraufhin sofort ne viruswarnung kam, nach welcher der virus im uninsaller versteckt ist.
Nach kurzer internetsuche kam raus, dass dieses hb tools tatsächlich ein virus oder sowas zu sein scheint.



ich hoffe ihr könnt mir absoluten neuling helfen und bin für jeden beitrag, der mir hilft dankbar

ReinMan

Lösche am besten den Virus mit Adaware,Spybot und deinem Antivirensystem. Mit was für einem Browser gehst du online ?? gehst du mit Firefox online lade dir Adblock-Plus runter das verhindert Werbeöffnungen etc.

Dann lade dir noch Hijackthis runter geh auf "Do a system scan and save a Logfile" Das Logfile kopierst du hier ins Forum.

Adaware:http://www.chip.de/downloads/c1_downloads_13000824.html

Spybot:http://www.chip.de/downloads/c1_downloads_13001443.html

Adblock-Plus:http://www.erweiterungen.de/detail/Adblock_Plus/

FloMi

ich bedanke mich schonmal, werd ich tun.
aber ich benutze zwar firefox, aber die seiten öffnen sich mit internet explorer

ReinMan

Deshalb ja Adblock-Plus der verhindert Werbestörungen etc. Auf Wunsch kannst du Addressen per Hand eingeben die Adblock sperren soll wenn sie Zugriff auf deinen Rechner per Werbung wollen.

Lass die beiden Antivirenprogramme mal durchlaufen und poste das Logfile hierein.

michael_mitti

Adblock-Plus, ein Segen Gottes.
Wenn ich den nicht hätte...
SSSSSeeeeehhhhhrrrrrrrr empfehlenswert.

FloMi

so da bin ich wieder.
highjackthis hat folgendes hervorgebracht, sagt mir sehr viel alles ^^ :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:02:19, on 02.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HbTools\Bin\4.8.4.0\HbtOEAddOn.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Hbtools\HBTV\HBTV.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.prosieben.de/index.php?icqpath=icq
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.8.4.0\HbtHostIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [mspradme] C:\windows\system32\mspradme.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HbTools] C:\Programme\HbTools\Bin\4.8.4.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [pxvkmftt] C:\WINDOWS\system32\sflwtxoe.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe "
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [389a0a41] rundll32.exe "C:\WINDOWS\system32\xpufmmvk.dll",sitypnow
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1164472091515
O20 - AppInit_DLLs: vb5dmspo.dll e1.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 7210 bytes




So Spybot läuft grad durch und ich hab schon 174 einträge und hab grad n stück püber die hälfte durch- geschockt

mit adblock-plus hab ich aber ein problem.
ich habs zwaqr runtergeladen, aber kann die datei nicht öffnen

mfsto

Dein Pc ist ziemlich verseucht ...
Den Virus , den du beschrieben hast in dem Ordner kriegen wir weg , aber da ist noch einiges drauf auf deinem Pc, u.a ein Backdoor , wodurch dein Pc höchstwahrscheinlich kompromittiert ist.Kurz gesagt: der Programmierer des Dings hat Zugriff auf deinen Pc..
Hinter folgendem Eintrag steckt auch nichts gutes:

C:\WINDOWS\system32\sflwtxoe.exe


Und hier der Backdoor:

C:\WINDOWS\system32\ntos.exe

Naja wir können die beiden Datein ma spaßeshalber auswerten lassen..
Als erstes machst du folgendes
-->
Extras-->Ordneroptionen
-Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
-Geschützte Systemdateien ausblenden -> Haken weg
-Inhalte von Systemordnern anzeigen -> Haken setzen
-Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

dann suchts du nach diesen beiden Datein
-->sflwtxoe.exe und ntos.exe beide im system32 ordner
wenn du sie gefunden hast lädst du beide Datein nacheinander bei Virustotal hoch und postest anschließend das Ergebnis von beiden Scans hier ins Forum in <code> Tags.



Mfg

FloMi

hi, also hab jetze die datei sflwtxoe.exe gescannt, weiss jetzt aber nich, was ich da genau posten soll, ich kopier einfach mal alles rein.
also da stand folgendes:
<
Datei sflwtxoe.exe empfangen 2007.10.02 17:48:07 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 21/32 (65.63%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.3.0 2007.10.02 Win-AppCare/Xema.253952.C
AntiVir 7.6.0.18 2007.10.02 ADSPY/Hotbar.Q
Authentium 4.93.8 2007.10.02 -
Avast 4.7.1043.0 2007.10.02 Win32:Hotbar-C
AVG 7.5.0.488 2007.10.02 Adware Generic.TAT
BitDefender 7.2 2007.10.02 Adware.Hotbar.DG
CAT-QuickHeal 9.00 2007.10.02 AdWare.HotBar.bw (Not a Virus)
ClamAV 0.91.2 2007.10.02 -
DrWeb 4.44.0.09170 2007.10.02 -
eSafe 7.0.15.0 2007.10.01 -
eTrust-Vet 31.2.5179 2007.10.02 -
Ewido 4.0 2007.10.02 Adware.HotBar
FileAdvisor 1 2007.10.02 -
Fortinet 3.11.0.0 2007.10.02 Adware/Hotbar
F-Prot 4.3.2.48 2007.10.01 W32/Adware.BRG
F-Secure 6.70.13030.0 2007.10.02 -
Ikarus T3.1.1.12 2007.10.02 not-a-virus:AdWare.Win32.HotBar.bw
Kaspersky 7.0.0.125 2007.10.02 not-a-virus:AdWare.Win32.HotBar.bw
McAfee 5131 2007.10.01 potentially unwanted program Adware-HotBar
Microsoft 1.2803 2007.10.02 Adware:Win32/Hotbar
NOD32v2 2566 2007.10.02 probably a variant of Win32/Adware.HotBar
Norman 5.80.02 2007.10.02 W32/HotBar.IK
Panda 9.0.0.4 2007.10.02 -
Prevx1 V2 2007.10.02 -
Rising 19.43.10.00 2007.10.02 -
Sophos 4.22.0 2007.10.02 Hotbar
Sunbelt 2.2.907.0 2007.10.02 Hotbar
Symantec 10 2007.10.02 Adware.Hotbar
TheHacker 6.2.6.075 2007.10.01 Adware/HotBar.bw
VBA32 3.12.2.4 2007.10.02 AdWare.Win32.HotBar.bw
VirusBuster 4.3.26:9 2007.10.01 -
Webwasher-Gateway 6.0.1 2007.10.02 Ad-Spyware.Hotbar.Q
weitere Informationen
File size: 253952 bytes
MD5: fe62630617b12e9f7c19e66a932ec863
SHA1: 4e7a677cf101dcfdecad0ce7cdcc20ae53813226
Sunbelt info: Hotbar Web Tools is a collection of browser and system enhancements. The primary application is the Hotbar toolbar, which is a \"skinable\" browser toolbar for Internet Explorer.
>

die andere datei war nicht auffindbar, kann das sein, dass spybot die gelöscht hat? 8o

naja ich hab jetz mit HighJackThis nochmal nen neuen scan gemacht ( nach dem spybot-durchlauf) und dabei kam folgendes heraus:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:22, on 02.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.prosieben.de/index.php?icqpath=icq
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [mspradme] C:\windows\system32\mspradme.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe "
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [389a0a41] rundll32.exe "C:\WINDOWS\system32\xpufmmvk.dll",sitypnow
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1164472091515
O20 - AppInit_DLLs: vb5dmspo.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 6686 bytes

ReinMan

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite -
{B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe (file missing)

C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe (file missing)

die Dateien markierst du und gehst auf "fixxed checked". Das Spybot sie gelöscht hat kann durchaus möglich sein.

mfsto

Ja laut Hijackthis Logfile ist die ntos.exe nicht mehr da...Was aber nicht heißt , dass sie keinen Schaden hinterlassen hat..Wenn du dir den Artikel durchgelesen hast , wirst du wissen was ich meine

Der Virus, der sich in sflwtxoe.exe befindet , lässt sich ohne Nachschäden entfernen ..Leider ist dein Pc noch weiter verseucht:
C:\windows\system32\mspradme.exe
C:\WINDOWS\system32\xpufmmvk.dll


Die beiden Datein scannst du bitte auch ma mit Virustotal und postest das Ergebnis.Achja diesen ganzen "Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt......" Quark brauchst du nicht zu posten , mich interessiert nur das Ergebnis der einzelnden Scanner.


Diesen Einträge fixst du mit Hijackthis:
Wie fixe ich?
*Starte Hijackthis
*Starte ein Durchlauf
*Danach erscheint das Logfile +Fenster mit mehreren Einträgen(O2 usw.)
*Haken bei den entsprechenden Einträgen
*Klicke auf "Fix Checked"

2.)
Starte die Windows Suche:

Start --> Suchen --> Dateien und Ordner --> Weitere Optionen
haken bei den ersten dreien, also

* Systemordnern durchsuchen
* versteckte Elemente durchsuchen
* Unterordner durchsuchen


such nach dieser Datei vb5dmspo.dll
wenn der pfad gefunden wurde , such die Datei auf und lad sie auch bei VirusTotal hoch und poste das Ergebnis.




----------------------------------------
Auch wenn Spybot den ntos.exe Virus gelöscht hat , ändert das nichts am angerichteten Schaden..Ich würde den Pc formatieren , da außer dem Backdoor , der den Zugriff auf deinen Pc ermöglicht, noch drei andere ,mir unbekannte Datein, auf dem Pc rumgeistern.
Nunja wir haben jetzt das Problem ,dass die ntos.exe anscheind schon gelöscht(Danke an Spybot....) wurde und wir sie somit nicht auswerten lassen können und sehen wie gefährlich sie ist/war..
Da zeigt sich ma wieder , dass es mehr Sinn macht erst ein Logfile anzufordern , um die Schadensquellen zu analysieren um dann gezielt vorzugehen..Das blöde draufloskloppen mit Spybot und anderen Proggis behindert nur die Arbeit
@ReinMan
Merk es dir ma für die Zukunft ,dass es sinnvoller ist, systematisch vorzugehen,d.h erst die Quelle zu finden und den Gefährlichkeitsgrad zu ermitteln.Du hast ja schon , wie es scheint , bisschen Ahnung vom Auswerten der Logfiles , achte deswegen bitte darauf , ob sich suspekte Einträge finden lassen. Falls es dir schwer fällt , lass das Logfile auf hijackthis.de auswerten , da werden meist unbekannte Datein markiert , wenn auch nicht immer korrekt.Diese kannst du , genauer gesagt der Betroffenden auf deine Aufforderung bei einem Onlinescanner auswerten lassen.Das Ergebnis schaust du dir an und kannst z.B mit Hilfe von Google näheres über den Virus rausfinden und dich z.B an anderen Threads aus anderen Foren orrientieren.
Ich möchte dich damit nicht kritisieren , jeder hat ma klein angefangen:P



Btw: 300 Posts *partysmileysuch*


Mfg