|
H.E.L.P !!! Malware, alles ausprobiert !!! Liste der Anhänge anzeigen (Anzahl: 1) hallo, also ich habe folgendes Problem, unten in der Taskleiste taucht bei jedem Neustart ein Symbol auf (roter Kreis mit einem weissem "X"). . . dieses Symbol erstellt unzählige Verknüpfungen auf meinem Desktop (Viagra, Blondes, Tits, und sowas...) Das eigentliche Problem ist, dass dieses Symbol auch im abgesichertem Modus auftaucht genau so wie die Verknüpfungen. . . (Löschen bringt nichts, die kommen immer wieder). Ab und zu, taucht eine Messagebox auf mit folgendem Inhalt: Error #317 - Microsoft Windows Security Warning Your Windows is corrupted with spyware virus You must patch your PC urgently to protect your system Private info is accessed by ports: -8080 -3128 You can patch your PC for free now and delete all spyware viruses. Click OK to choose and download free spyware removal using AntiSPY. So, Internet Explorer reagiert auch nicht, heisst immer wenn ich z.B. auf google gehen will taucht irgendeine AntiSpy bzw. Sex Site auf. . . Jetzt zur Problemlösung, ich habe AntiVir, Ad-Aware, Security Task, Autoruns, natürlich Hijackthis, Spybot ansich alle gängigen Programme ausprobiert, das Ding ist noch immer da !!! Mein Hauptproblem liegt darin das die Malware auch imabgesicherten Modus ihr unwesen treibt, wie kann ich es los werden ??? Kann mir jemand helfen ??? Das System läuft mit Win XP Pro. SP1 Hier die LogFiles: Hier einmal im Normal Modus: Logfile of HijackThis v1.99.1 Scan saved at 13:14:25, on 04/28/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Automatic Update\AutoUpdate.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ProPrinter\MainSrv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ProPrinter\AmaPrt.exe C:\Programme\ProPrinter\AmaPrt.exe C:\Programme\ProPrinter\AmaPrt.exe C:\Programme\ProPrinter\ComAdapt.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\VBouncer\VirtualBouncer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AdDestroyer\AdDestroyer.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe C:\Programme\Avant Browser\avant.exe C:\WINDOWS\system32\rundll32.exe C:\Dokumente und Einstellungen\Amadoru\Desktop\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0278/ O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe O4 - HKLM\..\Run: [AutoUpdate] C:\Programme\Automatic Update\AutoUpdate.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: AdDestroyer.lnk = C:\Programme\AdDestroyer\AdDestroyer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O15 - Trusted Zone: http://*.amadeus.com O15 - Trusted Zone: http://webconfig.amadeus.com O15 - Trusted Zone: http://*.amadeusproweb.com O15 - Trusted Zone: http://*.amadeusvista.com O15 - Trusted Zone: http://www.portevo.de O15 - Trusted Zone: http://www.startamadeus.de O15 - Trusted Zone: http://www.travelbasys O15 - Trusted Zone: http://*.amadeusproweb.com (HKLM) O15 - Trusted Zone: http://*.amadeusvista.com (HKLM) O16 - DPF: {051FE707-9706-11D5-A836-000102A7C938} (Amadeus Automatic Update) - http://amadeusvista.com/AutomaticUpd...oUpdateATL.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{2A6739D0-79B2-4689-9019-84FE3D99D762}: NameServer = 217.237.150.225 217.237.150.141 O17 - HKLM\System\CS2\Services\Tcpip\..\{2A6739D0-79B2-4689-9019-84FE3D99D762}: NameServer = 217.237.150.225 217.237.150.141 O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\mvj8l91u1.dll O23 - Service: Amadeus Automatic Update - Amadeus - C:\Programme\Automatic Update\AutoUpdate.exe O23 - Service: AmadeusProPrinter - Amadeus - C:\Programme\ProPrinter\MainSrv.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing) O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe Und hier im abgesicherten Modus: Logfile of HijackThis v1.99.1 Scan saved at 13:17:44, on 28.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Amadoru\Desktop\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0278/ O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe O4 - HKLM\..\Run: [AutoUpdate] C:\Programme\Automatic Update\AutoUpdate.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O15 - Trusted Zone: http://*.amadeusproweb.com (HKLM) O15 - Trusted Zone: http://*.amadeusvista.com (HKLM) O16 - DPF: {051FE707-9706-11D5-A836-000102A7C938} (Amadeus Automatic Update) - http://amadeusvista.com/AutomaticUpd...oUpdateATL.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{2A6739D0-79B2-4689-9019-84FE3D99D762}: NameServer = 217.237.150.225 217.237.150.141 O17 - HKLM\System\CS2\Services\Tcpip\..\{2A6739D0-79B2-4689-9019-84FE3D99D762}: NameServer = 217.237.150.225 217.237.150.141 O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\j4j60e1seh.dll O23 - Service: Amadeus Automatic Update - Amadeus - C:\Programme\Automatic Update\AutoUpdate.exe O23 - Service: AmadeusProPrinter - Amadeus - C:\Programme\ProPrinter\MainSrv.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing) O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe need help, please !!! |
C:\Programme\Automatic Update\AutoUpdate.exe C:\Programme\ProPrinter\MainSrv.exe C:\Programme\ProPrinter\AmaPrt.exe C:\Programme\ProPrinter\ComAdapt.exe -> unbekannte Prozesse. Kannst du damit was anfangen? Lass die Dateien mal prüfen und teile das Ergebnis mit: http://virusscan.jotti.org/de/ O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe O4 - Startup: AdDestroyer.lnk = C:\Programme\AdDestroyer\AdDestroyer.exe -> Bitte fixen. O4 - HKLM\..\Run: [AutoUpdate] C:\Programme\Automatic Update\AutoUpdate.exe -> unbekannt, siehe oben. Wenn die Datei infiziert ist, diesen Eintra auch fixen. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0278/ O4 - Startup: AdDestroyer.lnk = C:\Programme\AdDestroyer\AdDestroyer.exe -> Fixen. O15 - Trusted Zone: -> Wenn du die Seiten, die hier eingetragen sind, nicht wissentlich zu den vertrauenswürdigen Seiten hinzugefügt hast, alle Einträge fixen. O16 - DPF: {051FE707-9706-11D5-A836-000102A7C938} (Amadeus Automatic Update) - http://amadeusvista.com/AutomaticUp...toUpdateATL.CAB -> evtl. böse O23 - Service: Amadeus Automatic Update - Amadeus - C:\Programme\Automatic Update\AutoUpdate.exe O23 - Service: AmadeusProPrinter - Amadeus - C:\Programme\ProPrinter\MainSrv.exe -> evtl. böse, abhängig davon, was die Dateianalyse (s.o.) ergibt. O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\mvj8l91u1.dll -> könnte auch Müll sein, am besten auch mal testen. Und Windows auf SP2 updaten und besser eine andern Browser nutzen! |
lösche systr.dll in C:/windows/system32 am besten mit hijack ,öffne die Misc tool section , dann Delete a file on reboot ,datei suchen.... Fertig Müsst klappen.... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board