HI !

Wir haben derzeit ein Problem, wir bekommen immer Popups.
Aber dicht die Standart Werbedinger, sondern von Tattoo - Sex - Singles u.s.w.

Ich poste mal unten den Highjacklog.

Vielen Dank
schon mal im vorraus

Gruß
Copykill



Logfile of HijackThis v1.99.1
Scan saved at 15:32:43, on 21.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE\Monitor.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\sload.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqvwr08.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\uli\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***p://*ww.msn.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE\Monitor.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [sload] "C:\WINDOWS\sload.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.sxload.com
O16 - DPF: {42B1C70D-9823-41F7-810A-682DA294D868} - ms-its:mhtml:file://c:\nosuxxx.mht!h***://sxload.com/data/sload.chm::/xload.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - ms-its:mhtml:file://c:\nosuxxxy.mht!http://h***://elitegate.de/script/ys...sb_regular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1100448527149
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - h**p://runonce.msn.com/setacceptlang.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h**p://h30043.www3.hp.com/aio...qdiagh.cab?325
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://h**p://install.serviceurl.de/...sAssistent.ocx
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Hallo,

editiere dein Logfile bitte zunächst gemäß dieser Anleitung, dann sehen wir weiter.

So !

Ich hoffe das ich alles im euren Sinne editiert habe.

Gruß
Copykill

Lasse mal folgende Dateien hier scannen:
C:\WINDOWS\sload.exe
C:\WINDOWS\System32\wuauclt.exe


http://virusscan.jotti.org/de/
Und poste das Ergebnis.

Hallo !

Hier mal die Ergebnisse !

Datei: sload.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Trojan.Downloader.Vb.Ka gefunden
Avast Win32:Trojano-1404 gefunden
AVG Antivirus Downloader.Generic.UY gefunden
BitDefender Trojan.Downloader.Vb.KA gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.DownLoader.2983 gefunden
F-Prot Antivirus W32/Backdoor.BQN gefunden
Fortinet W32/VB.KA-tr gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.VB.ka gefunden
NOD32 Win32/TrojanDownloader.VB.KA gefunden
Norman Virus Control W32/DLoader.FIZ gefunden
VBA32 Trojan-Downloader.Win32.VB.ka gefunden

=====================================================
Datei: wuauclt.exe
Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden





Gruß
Copykill

HijackThis bitte wie in der Anleitung beschrieben in einen eigenen Ordner entpacken.

Starte den PC im abgesicherten Modus.

Fixe mit HjT

O4 - HKLM\..\Run: [sload] "C:\WINDOWS\sload.exe"

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: *.sxload.com

O16 - DPF: {42B1C70D-9823-41F7-810A-682DA294D868} - ms-its:mhtml:file://c:\nosuxxx.mht!h***://sxload.com/data/sload.chm::/xload.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - ms-its:mhtml:file://c:\nosuxxxy.mht!http://h***://elitegate.de/script/y...ysb_regular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - h**p://runonce.msn.com/setacceptlang.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h**p://h30043.www3.hp.com/ai.../qdiagh.cab?325
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://h**p://install.serviceurl.de...nsAssistent.ocx

Lösche manuell
C:\WINDOWS\sload.exe
C:\WINDOWS\web\related.htm
Die Datein aus den O16-Einträgen, falls direkt unter C: vorhanden.

Führe einen Scan mit eScan durch und entferne die restliche Malware wie beschrieben.

Windows updaten (-> SP2-Download)

Alternativen Browser verwenden.

Neues HjT-Log posten. Problem gelöst?