H.E.L.P !!! Malware, alles ausprobiert !!!

cripter · 29.04.2005, 12:17

hallo,

also ich habe folgendes Problem, unten in der Taskleiste taucht bei jedem Neustart ein Symbol auf (roter Kreis mit einem weissem "X"). . .
dieses Symbol erstellt unzählige Verknüpfungen auf meinem Desktop (Viagra, Blondes, Tits, und sowas...)

Das eigentliche Problem ist, dass dieses Symbol auch im abgesichertem Modus auftaucht genau so wie die Verknüpfungen. . . (Löschen bringt nichts, die kommen immer wieder).

Ab und zu, taucht eine Messagebox auf mit folgendem Inhalt:

Error #317 - Microsoft Windows Security Warning

Your Windows is corrupted with spyware virus
You must patch your PC urgently to protect your system
Private info is accessed by ports:

-8080
-3128

You can patch your PC for free now and delete all spyware viruses.

Click OK to choose and download free spyware removal using AntiSPY.

So, Internet Explorer reagiert auch nicht, heisst immer wenn ich z.B. auf google gehen will taucht irgendeine AntiSpy bzw. Sex Site auf. . .

Jetzt zur Problemlösung, ich habe AntiVir, Ad-Aware, Security Task, Autoruns, natürlich Hijackthis, Spybot ansich alle gängigen Programme ausprobiert, das Ding ist noch immer da !!!

Mein Hauptproblem liegt darin das die Malware auch imabgesicherten Modus ihr unwesen treibt, wie kann ich es los werden ??? Kann mir jemand helfen ???

Das System läuft mit Win XP Pro. SP1

Hier die LogFiles:

Hier einmal im Normal Modus:

Logfile of HijackThis v1.99.1
Scan saved at 13:14:25, on 04/28/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Automatic Update\AutoUpdate.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ProPrinter\MainSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ProPrinter\AmaPrt.exe
C:\Programme\ProPrinter\AmaPrt.exe
C:\Programme\ProPrinter\AmaPrt.exe
C:\Programme\ProPrinter\ComAdapt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\VBouncer\VirtualBouncer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AdDestroyer\AdDestroyer.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Avant Browser\avant.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Amadoru\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0278/
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: [AutoUpdate] C:\Programme\Automatic Update\AutoUpdate.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: AdDestroyer.lnk = C:\Programme\AdDestroyer\AdDestroyer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O15 - Trusted Zone: http://*.amadeus.com
O15 - Trusted Zone: http://webconfig.amadeus.com
O15 - Trusted Zone: http://*.amadeusproweb.com
O15 - Trusted Zone: http://*.amadeusvista.com
O15 - Trusted Zone: http://www.portevo.de
O15 - Trusted Zone: http://www.startamadeus.de
O15 - Trusted Zone: http://www.travelbasys
O15 - Trusted Zone: http://*.amadeusproweb.com (HKLM)
O15 - Trusted Zone: http://*.amadeusvista.com (HKLM)
O16 - DPF: {051FE707-9706-11D5-A836-000102A7C938} (Amadeus Automatic Update) - http://amadeusvista.com/AutomaticUpd...oUpdateATL.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A6739D0-79B2-4689-9019-84FE3D99D762}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CS2\Services\Tcpip\..\{2A6739D0-79B2-4689-9019-84FE3D99D762}: NameServer = 217.237.150.225 217.237.150.141
O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\mvj8l91u1.dll
O23 - Service: Amadeus Automatic Update - Amadeus - C:\Programme\Automatic Update\AutoUpdate.exe
O23 - Service: AmadeusProPrinter - Amadeus - C:\Programme\ProPrinter\MainSrv.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Und hier im abgesicherten Modus:

Logfile of HijackThis v1.99.1
Scan saved at 13:17:44, on 28.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Amadoru\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0278/
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: [AutoUpdate] C:\Programme\Automatic Update\AutoUpdate.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O15 - Trusted Zone: http://*.amadeusproweb.com (HKLM)
O15 - Trusted Zone: http://*.amadeusvista.com (HKLM)
O16 - DPF: {051FE707-9706-11D5-A836-000102A7C938} (Amadeus Automatic Update) - http://amadeusvista.com/AutomaticUpd...oUpdateATL.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A6739D0-79B2-4689-9019-84FE3D99D762}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CS2\Services\Tcpip\..\{2A6739D0-79B2-4689-9019-84FE3D99D762}: NameServer = 217.237.150.225 217.237.150.141
O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\j4j60e1seh.dll
O23 - Service: Amadeus Automatic Update - Amadeus - C:\Programme\Automatic Update\AutoUpdate.exe
O23 - Service: AmadeusProPrinter - Amadeus - C:\Programme\ProPrinter\MainSrv.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

need help, please !!!

Sagamore · 29.04.2005, 13:10

C:\Programme\Automatic Update\AutoUpdate.exe
C:\Programme\ProPrinter\MainSrv.exe
C:\Programme\ProPrinter\AmaPrt.exe
C:\Programme\ProPrinter\ComAdapt.exe

-> unbekannte Prozesse. Kannst du damit was anfangen? Lass die Dateien mal prüfen und teile das Ergebnis mit: http://virusscan.jotti.org/de/

O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - Startup: AdDestroyer.lnk = C:\Programme\AdDestroyer\AdDestroyer.exe
-> Bitte fixen.

O4 - HKLM\..\Run: [AutoUpdate] C:\Programme\Automatic Update\AutoUpdate.exe
-> unbekannt, siehe oben. Wenn die Datei infiziert ist, diesen Eintra auch fixen.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0278/
O4 - Startup: AdDestroyer.lnk = C:\Programme\AdDestroyer\AdDestroyer.exe
-> Fixen.

O15 - Trusted Zone:
-> Wenn du die Seiten, die hier eingetragen sind, nicht wissentlich zu den vertrauenswürdigen Seiten hinzugefügt hast, alle Einträge fixen.

O16 - DPF: {051FE707-9706-11D5-A836-000102A7C938} (Amadeus Automatic Update) - http://amadeusvista.com/AutomaticUp...toUpdateATL.CAB
-> evtl. böse

O23 - Service: Amadeus Automatic Update - Amadeus - C:\Programme\Automatic Update\AutoUpdate.exe
O23 - Service: AmadeusProPrinter - Amadeus - C:\Programme\ProPrinter\MainSrv.exe
-> evtl. böse, abhängig davon, was die Dateianalyse (s.o.) ergibt.

O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\mvj8l91u1.dll
-> könnte auch Müll sein, am besten auch mal testen.

Und Windows auf SP2 updaten und besser eine andern Browser nutzen!

Chuky · 02.05.2005, 09:27

lösche systr.dll in C:/windows/system32
am besten mit hijack ,öffne die Misc tool section ,
dann Delete a file on reboot ,datei suchen....
Fertig
Müsst klappen....

H.E.L.P !!! Malware, alles ausprobiert !!!

Plagegeister aller Art und deren Bekämpfung: H.E.L.P !!! Malware, alles ausprobiert !!!