PMS/Tool.HT Patch.A
 

In totale Verweiflung melde ich mich an die Experten hier im Forum.

FALL:
Vor ein paar Tagen hab ich gemerkt, dass der PC langsamer wurde und nach dem booten im Desktop sieh aufgehängt hatte. Nach einen Restart ging alles wieder. Heute morgen der Schock. Nach 10 Neustarts ging es immernoch nicht.... hatte schon fast resigniert und nun läufts wieder (FAZIT PC WIRD NICHT AUSGEMACHT BIS PROBLEM GELÖST :-)

Da ich nicht gerade der Fachmann bin habe ich mich im Internet informiert und nachgelsen, dass man hier den text von escan (scan im abgesicherten modus) und hijcklist posten kann um evt. jemanden zu finden der sich besser auskennt.

ALSO

1. Text ESCAN:
Fri Mar 11 12:59:26 2005 => File C:\WINDOWS\NDNuninstall4_85.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
+
Fri Mar 11 12:59:08 2005 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
+
Fri Mar 11 13:11:32 2005 => File C:\Programme\GV Sun Star Kasino\gc.dll infected by "not-a-virus:AdWare.Casino.e" Virus. Action Taken: No Action Taken.
+
Fri Mar 11 13:22:08 2005 => File C:\System Volume Information\_restore{EDCBE18C-1352-4B93-81F8-F4AD9F61B846}\RP220\A0050226.exe infected by "Trojan.Win32.Dialer.eg" Virus. Action Taken: No Action Taken.
+
Fri Mar 11 13:23:46 2005 => File C:\System Volume Information\_restore{EDCBE18C-1352-4B93-81F8-F4AD9F61B846}\RP225\A0053907.exe infected by "not-a-virus:AdWare.Casino.d" Virus. Action Taken: No Action Taken.
+
Fri Mar 11 13:38:37 2005 => File C:\WINDOWS\NDNuninstall4_85.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Das sieht wohl absolut nicht gut aus wie kriege ich diese weg ??

und hier die kpl. hjcklist:

Logfile of HijackThis v1.99.1
Scan saved at 15:57:52, on 11.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Hewlett-Packard\HP OfficeJet T Series\Bin\HPOstr05.exe
C:\Programme\Hewlett-Packard\HP OfficeJet T Series\bin\HPOVDX05.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\Zeljko\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Zeljko\LOKALE~1\Temp\kavss.exe
D:\Buchhaltung\PCFK32.EXE
C:\WINDOWS\system32\W32MKDE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Zeljko\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: HP OfficeJet T Series-Start.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet T Series\Bin\HPOstr05.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

NUN HOFFE ICH AUF EXPERTENRAT WIE ICH MEINEN PC LEEREN KANN (WENNS GEHT OHNE FORMAT C:) und WIE ICH IHN AM BESTEN SCHÜTZEN KANN. WOLLTE MIR ZONEALARM POR KAUFEN IST DAS GUT !!!

DANKE GRÜSSE
MICHAEL G.

Hi,

lasse bitte die Datei:C:\WINDOWS\htpatch.exe
hier online scannen und teile das Ergebnis ca. 10 Zeilen mit

Hallo Gigamail,

leider funktioniert der link nicht !!!

Kann ich das anderst machen danke

Der Link war veraltet, aktuell ist http://virusscan.jotti.org/

Gruß :daumenhoc
Yopie

Hi folgender Text kam

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Wie soll ich nun vorgehen ?

danke

@ Fuxer

Sorry für den alten Link hab's bei mir gleich geändert.
Wie groß ist die Datei wenn Du rechte Maustaste und Eigenschaften anklickst?

kein Problem

die exe datei habe ich mit killbox gelöscht

nun zeit antivir folgendes an:
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EDCBE18C-1352-4B93-81F8-F4AD9F61B846}\RP228\A0078108.EXE

wie wäre es wenn ich die ganzen falschen Dateien mit killbox lösche

welche exe meinst du ich hatte gedacht Du gibst die Größe der datei mal durch
C:\WINDOWS\htpatch.exe
rechte Maustaste -->Eigenschaften

Schädling die sich dort befinden bekommt man weg indem man die Systemwiederherstellung deaktiviert neu bootet und dan wieder aktiviert, aber das sollte der Reihe nach gehen da in Deinem Logfile auch noch eine Kleinigkeit zu bereinigen ist. Mich hat halt erst mal die Datei interessiert

Hi Gigamail,

ich war einbißchen voreilig und hab diese exe datei mit dem Programm Killbox gelöscht nun ist sie weg. Mit wechen Programm kann ich prüfen ob sich noch viren bzw. trojaner auf dem PC befinden. Wie kann ich mich am besten schützen momentan habe ich zonealarm und antivir drauf. Hat wohl aber nicht so viel genützt in meinem Fall.

VIELEN DANK FÜR DEINE HILFE

FUXER

na gut wenn Du so schnell bist kann man nicht's machen :zzwhip:

lade Dir eScan Beschreibung lesen siehe unten Haken richtig setzen , aber noch nicht scannen

--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung

fixe mit HJT folgende Einträge:

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

neu booten neues HJT und Ergebnis von eScan posten