hbtools- problem

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von FloMi, 01.10.2007.

  1. FloMi

    FloMi Neuer Benutzer

    Dabei seit:
    01.10.2007
    Beiträge:
    5
    Zustimmungen:
    0
    Hi leute, ich hoffe ich bin hier richtig.
    ich hab folgendes problem: mein pc ist seit kurzen ziemlich langsam (braucht manchmal über ne minute um nen ordner zu öffnen) und öffnet ständig irgendwelche internetseiten ( unteranderem so einen virusscanner, den ich gar nicht kenne, also nicht auf dem pc hab)
    CPU auslastung ist heut schon den ganzen tag durchgängig bei 100% 8o

    ich weiss nicht, ob das ganze problem daherrührt, aber ich hab letztens son linux- skin für mein xp runtergeladen und seit dem kommt das immer.

    hab die dateien natürlich deinstalliert etc. hat aber nix gebracht.

    Dann ist mir aufgefallen, dass immer wenn sich ne i-net seite geöffnet hat da was von nem programm namens whenu save oder so stand.
    hab das unter programmegesucht und auch deinstalliert.

    Bin heute nochmal alle programme durchgegangen und dabei auf nen ordner namens Hb Tools gestossen. daraufhin hab ich in diesem den ordner HBTV geöffnet, woraufhin sofort ne viruswarnung kam, nach welcher der virus im uninsaller versteckt ist.
    Nach kurzer internetsuche kam raus, dass dieses hb tools tatsächlich ein virus oder sowas zu sein scheint.



    ich hoffe ihr könnt mir absoluten neuling helfen und bin für jeden beitrag, der mir hilft dankbar :)
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 ReinMan, 01.10.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    Lösche am besten den Virus mit Adaware,Spybot und deinem Antivirensystem. Mit was für einem Browser gehst du online ?? gehst du mit Firefox online lade dir Adblock-Plus runter das verhindert Werbeöffnungen etc.

    Dann lade dir noch Hijackthis runter geh auf "Do a system scan and save a Logfile" Das Logfile kopierst du hier ins Forum.

    Adaware:http://www.chip.de/downloads/c1_downloads_13000824.html

    Spybot:http://www.chip.de/downloads/c1_downloads_13001443.html

    Adblock-Plus:http://www.erweiterungen.de/detail/Adblock_Plus/
     
  4. FloMi

    FloMi Neuer Benutzer

    Dabei seit:
    01.10.2007
    Beiträge:
    5
    Zustimmungen:
    0
    ich bedanke mich schonmal, werd ich tun.
    aber ich benutze zwar firefox, aber die seiten öffnen sich mit internet explorer
     
  5. #4 ReinMan, 01.10.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    Deshalb ja Adblock-Plus der verhindert Werbestörungen etc. Auf Wunsch kannst du Addressen per Hand eingeben die Adblock sperren soll wenn sie Zugriff auf deinen Rechner per Werbung wollen.

    Lass die beiden Antivirenprogramme mal durchlaufen und poste das Logfile hierein.
     
  6. #5 michael_mitti, 01.10.2007
    michael_mitti

    michael_mitti Erfahrener Benutzer

    Dabei seit:
    18.03.2007
    Beiträge:
    596
    Zustimmungen:
    0
    Adblock-Plus, ein Segen Gottes.
    Wenn ich den nicht hätte...
    SSSSSeeeeehhhhhrrrrrrrr empfehlenswert.
     
  7. FloMi

    FloMi Neuer Benutzer

    Dabei seit:
    01.10.2007
    Beiträge:
    5
    Zustimmungen:
    0
    so da bin ich wieder.
    highjackthis hat folgendes hervorgebracht, sagt mir sehr viel alles ^^ :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:02:19, on 02.10.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\PAStiSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\HbTools\Bin\4.8.4.0\HbtOEAddOn.exe
    C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
    C:\Programme\Hbtools\HBTV\HBTV.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\CursorXP\CursorXP.exe
    C:\Programme\RALINK\Common\RaUI.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
    C:\Programme\Winamp\winamp.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.prosieben.de/index.php?icqpath=icq
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.8.4.0\HbtHostIE.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [mspradme] C:\windows\system32\mspradme.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [HbTools] C:\Programme\HbTools\Bin\4.8.4.0\HbtOEAddOn.exe
    O4 - HKLM\..\Run: [pxvkmftt] C:\WINDOWS\system32\sflwtxoe.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [389a0a41] rundll32.exe "C:\WINDOWS\system32\xpufmmvk.dll",sitypnow
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
    O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
    O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
    O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
    O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
    O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
    O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164472091515
    O20 - AppInit_DLLs: vb5dmspo.dll e1.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

    --
    End of file - 7210 bytes




    So Spybot läuft grad durch und ich hab schon 174 einträge und hab grad n stück püber die hälfte durch- geschockt

    mit adblock-plus hab ich aber ein problem.
    ich habs zwaqr runtergeladen, aber kann die datei nicht öffnen
     
  8. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Dein Pc ist ziemlich verseucht ...
    Den Virus , den du beschrieben hast in dem Ordner kriegen wir weg , aber da ist noch einiges drauf auf deinem Pc, u.a ein Backdoor , wodurch dein Pc höchstwahrscheinlich kompromittiert ist.Kurz gesagt: der Programmierer des Dings hat Zugriff auf deinen Pc..
    Hinter folgendem Eintrag steckt auch nichts gutes:

    C:\WINDOWS\system32\sflwtxoe.exe


    Und hier der Backdoor:

    C:\WINDOWS\system32\ntos.exe

    Naja wir können die beiden Datein ma spaßeshalber auswerten lassen..
    Als erstes machst du folgendes
    -->
    Extras-->Ordneroptionen
    -Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
    -Geschützte Systemdateien ausblenden -> Haken weg
    -Inhalte von Systemordnern anzeigen -> Haken setzen
    -Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

    dann suchts du nach diesen beiden Datein
    -->sflwtxoe.exe und ntos.exe beide im system32 ordner
    wenn du sie gefunden hast lädst du beide Datein nacheinander bei Virustotal hoch und postest anschließend das Ergebnis von beiden Scans hier ins Forum in <code> Tags.



    Mfg
     
  9. FloMi

    FloMi Neuer Benutzer

    Dabei seit:
    01.10.2007
    Beiträge:
    5
    Zustimmungen:
    0
    hi, also hab jetze die datei sflwtxoe.exe gescannt, weiss jetzt aber nich, was ich da genau posten soll, ich kopier einfach mal alles rein.
    also da stand folgendes:
    <
    Datei sflwtxoe.exe empfangen 2007.10.02 17:48:07 (CET)
    Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
    Ergebnis: 21/32 (65.63%)
    Laden der Serverinformationen...
    Ihre Datei wartet momentan auf Position: 4.
    Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
    Dieses Fenster bis zum Abschluss des Scans nicht schließen.
    Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
    Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
    Ihre Datei wird momentan von VirusTotal überprüft,
    Ergebnisse werden sofort nach der Generierung angezeigt.
    Filter Filter
    Drucken der Ergebnisse Drucken der Ergebnisse
    Datei existiert nicht oder dessen Lebensdauer wurde überschritten
    Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

    SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
    Email:

    Antivirus Version letzte aktualisierung Ergebnis
    AhnLab-V3 2007.10.3.0 2007.10.02 Win-AppCare/Xema.253952.C
    AntiVir 7.6.0.18 2007.10.02 ADSPY/Hotbar.Q
    Authentium 4.93.8 2007.10.02 -
    Avast 4.7.1043.0 2007.10.02 Win32:Hotbar-C
    AVG 7.5.0.488 2007.10.02 Adware Generic.TAT
    BitDefender 7.2 2007.10.02 Adware.Hotbar.DG
    CAT-QuickHeal 9.00 2007.10.02 AdWare.HotBar.bw (Not a Virus)
    ClamAV 0.91.2 2007.10.02 -
    DrWeb 4.44.0.09170 2007.10.02 -
    eSafe 7.0.15.0 2007.10.01 -
    eTrust-Vet 31.2.5179 2007.10.02 -
    Ewido 4.0 2007.10.02 Adware.HotBar
    FileAdvisor 1 2007.10.02 -
    Fortinet 3.11.0.0 2007.10.02 Adware/Hotbar
    F-Prot 4.3.2.48 2007.10.01 W32/Adware.BRG
    F-Secure 6.70.13030.0 2007.10.02 -
    Ikarus T3.1.1.12 2007.10.02 not-a-virus:AdWare.Win32.HotBar.bw
    Kaspersky 7.0.0.125 2007.10.02 not-a-virus:AdWare.Win32.HotBar.bw
    McAfee 5131 2007.10.01 potentially unwanted program Adware-HotBar
    Microsoft 1.2803 2007.10.02 Adware:Win32/Hotbar
    NOD32v2 2566 2007.10.02 probably a variant of Win32/Adware.HotBar
    Norman 5.80.02 2007.10.02 W32/HotBar.IK
    Panda 9.0.0.4 2007.10.02 -
    Prevx1 V2 2007.10.02 -
    Rising 19.43.10.00 2007.10.02 -
    Sophos 4.22.0 2007.10.02 Hotbar
    Sunbelt 2.2.907.0 2007.10.02 Hotbar
    Symantec 10 2007.10.02 Adware.Hotbar
    TheHacker 6.2.6.075 2007.10.01 Adware/HotBar.bw
    VBA32 3.12.2.4 2007.10.02 AdWare.Win32.HotBar.bw
    VirusBuster 4.3.26:9 2007.10.01 -
    Webwasher-Gateway 6.0.1 2007.10.02 Ad-Spyware.Hotbar.Q
    weitere Informationen
    File size: 253952 bytes
    MD5: fe62630617b12e9f7c19e66a932ec863
    SHA1: 4e7a677cf101dcfdecad0ce7cdcc20ae53813226
    Sunbelt info: Hotbar Web Tools is a collection of browser and system enhancements. The primary application is the Hotbar toolbar, which is a \"skinable\" browser toolbar for Internet Explorer.
    >

    die andere datei war nicht auffindbar, kann das sein, dass spybot die gelöscht hat? 8o

    naja ich hab jetz mit HighJackThis nochmal nen neuen scan gemacht ( nach dem spybot-durchlauf) und dabei kam folgendes heraus:



    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:50:22, on 02.10.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\PAStiSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\CursorXP\CursorXP.exe
    C:\Programme\ICQ6\ICQ.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\RALINK\Common\RaUI.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Winamp\winamp.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.prosieben.de/index.php?icqpath=icq
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [mspradme] C:\windows\system32\mspradme.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [389a0a41] rundll32.exe "C:\WINDOWS\system32\xpufmmvk.dll",sitypnow
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
    O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
    O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
    O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
    O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
    O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
    O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164472091515
    O20 - AppInit_DLLs: vb5dmspo.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

    --
    End of file - 6686 bytes
     
  10. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  11. #9 ReinMan, 02.10.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

    O9 - Extra 'Tools' menuitem: ICQ Lite -
    {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

    C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

    C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

    die Dateien markierst du und gehst auf "fixxed checked". Das Spybot sie gelöscht hat kann durchaus möglich sein.
     
  12. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Ja laut Hijackthis Logfile ist die ntos.exe nicht mehr da...Was aber nicht heißt , dass sie keinen Schaden hinterlassen hat..Wenn du dir den Artikel durchgelesen hast , wirst du wissen was ich meine;)

    Der Virus, der sich in sflwtxoe.exe befindet , lässt sich ohne Nachschäden entfernen ..Leider ist dein Pc noch weiter verseucht:
    C:\windows\system32\mspradme.exe
    C:\WINDOWS\system32\xpufmmvk.dll


    Die beiden Datein scannst du bitte auch ma mit Virustotal und postest das Ergebnis.Achja diesen ganzen "Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt......" Quark brauchst du nicht zu posten , mich interessiert nur das Ergebnis der einzelnden Scanner.


    Diesen Einträge fixst du mit Hijackthis:
    Code:
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    
    
    Wie fixe ich?
    *Starte Hijackthis
    *Starte ein Durchlauf
    *Danach erscheint das Logfile +Fenster mit mehreren Einträgen(O2 usw.)
    *Haken bei den entsprechenden Einträgen
    *Klicke auf "Fix Checked"

    2.)
    Starte die Windows Suche:

    Start --> Suchen --> Dateien und Ordner --> Weitere Optionen
    haken bei den ersten dreien, also

    * Systemordnern durchsuchen
    * versteckte Elemente durchsuchen
    * Unterordner durchsuchen


    such nach dieser Datei vb5dmspo.dll
    wenn der pfad gefunden wurde , such die Datei auf und lad sie auch bei VirusTotal hoch und poste das Ergebnis.




    ----------------------------------------
    Auch wenn Spybot den ntos.exe Virus gelöscht hat , ändert das nichts am angerichteten Schaden..Ich würde den Pc formatieren , da außer dem Backdoor , der den Zugriff auf deinen Pc ermöglicht, noch drei andere ,mir unbekannte Datein, auf dem Pc rumgeistern.
    Nunja wir haben jetzt das Problem ,dass die ntos.exe anscheind schon gelöscht(Danke an Spybot....) wurde und wir sie somit nicht auswerten lassen können und sehen wie gefährlich sie ist/war..
    Da zeigt sich ma wieder , dass es mehr Sinn macht erst ein Logfile anzufordern , um die Schadensquellen zu analysieren um dann gezielt vorzugehen..Das blöde draufloskloppen mit Spybot und anderen Proggis behindert nur die Arbeit;)
    @ReinMan
    Merk es dir ma für die Zukunft ,dass es sinnvoller ist, systematisch vorzugehen,d.h erst die Quelle zu finden und den Gefährlichkeitsgrad zu ermitteln.Du hast ja schon , wie es scheint , bisschen Ahnung vom Auswerten der Logfiles , achte deswegen bitte darauf , ob sich suspekte Einträge finden lassen. Falls es dir schwer fällt , lass das Logfile auf hijackthis.de auswerten , da werden meist unbekannte Datein markiert , wenn auch nicht immer korrekt.Diese kannst du , genauer gesagt der Betroffenden auf deine Aufforderung bei einem Onlinescanner auswerten lassen.Das Ergebnis schaust du dir an und kannst z.B mit Hilfe von Google näheres über den Virus rausfinden und dich z.B an anderen Threads aus anderen Foren orrientieren.
    Ich möchte dich damit nicht kritisieren , jeder hat ma klein angefangen:p



    Btw: 300 Posts *partysmileysuch* :D


    Mfg
     
Thema: hbtools- problem
Besucher kamen mit folgenden Suchen
  1. hbtools

    ,
  2. hb tools

    ,
  3. was ist hbtools

    ,
  4. hbtool entferne,
  5. hbtool 32.dll
Die Seite wird geladen...

hbtools- problem - Ähnliche Themen

  1. WLan Problem

    WLan Problem: Hallo, habe ein kleines Problem mit meinem Netzwerk zu Hause. Zur Info: Internetanschluß ist nen 16.000er von ALice/O2. (Bitte nichts sagen,...
  2. Ein Problem mit Bluetooth

    Ein Problem mit Bluetooth: Hallo, ich habe exakt das Bliuetoothmodul, das in diesem Video gezeigt ist: [MEDIA] bin aber der Meinung, dass das bereits geflasht ist, denn...
  3. Domänencontroller Problem

    Domänencontroller Problem: Bekomme neuerdings immer eine Fehlermeldung in der Ereignisanzeige angezeigt: Software_Protection_Platform_Service Lizenzerwerb-Fehlerdetails....
  4. Windows Server 2012R2 Problem

    Windows Server 2012R2 Problem: Moin, wir haben das Problem, das bei Aufforderung das Benutzerpasswort zu ändern in der Windowsumgebung, die Fehlermeldung: "Das System hat...
  5. Problem mit Sims 2

    Problem mit Sims 2: Hey ich habe Sims 2 auf meinem Laptop installiert, ist schon länger her. Ich habe verschiedene Erweiterungspacks gekauft und installiert habe fast...