hallo zusammen.

seit gestern öffenen sich permanent popups, selbst wenn ich den iexplorer nicht geöffnet habe. das nervt und muss weg! das kleine problem: ich habe null ahnung von computern und habe eure seite über einen freund empfohlen bekommen. ich hoffe ihr könnt mir helfen. und bitte so, dass ich es auch verstehe! ich bin wie gesagt ein idiot auf dem gebiet.
ach ja, wenn ihr eine rangliste habt mit den zugemülltesten computern: hier ist euer neuer spitzenreiter:

danke im voraus!

Logfile of HijackThis v1.99.1
Scan saved at 18:21:14, on 29.04.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\spool\drivers\w32x86\hpzstatn.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\hpha1mon.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires\hidr.exe
C:\ScanPanel\ScnPanel.exe
C:\WINNT\Mixer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=
O1 - Hosts: 38.115.131.131 sk2.slsk.org
O1 - Hosts: 38.115.131.131 www.slsk.org
O1 - Hosts: 38.115.131.131 mail.slsk.org
O1 - Hosts: 38.115.131.131 server.slsk.org
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {a8b60026-bb70-4179-8aa0-94824a1b6f79} - C:\WINNT\system32\ipxOUT.dll
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINNT\system32\tmp1.tmp.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [HPHA1MON] C:\WINNT\System32\hpha1mon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINNT\system32\lsasss.exe
O4 - HKCU\..\Run: [StartButtonModifier] C:\WINNT\ChangeStart.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~4\wcescomm.exe"
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.studivz.net/photouploader/ImageUploader4.cab
O20 - AppInit_DLLs:
O20 - Winlogon Notify: ActiveSync - C:\WINNT\SYSTEM32\WcesWlgn.dll
O20 - Winlogon Notify: ipxOUT - C:\WINNT\SYSTEM32\ipxOUT.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Printer Status Server (hpzstatn) - Hewlett-Packard Company - C:\WINNT\System32\spool\drivers\w32x86\hpzstatn.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

Zitat:

O1 - Hosts: 38.115.131.131 sk2.slsk.org
O1 - Hosts: 38.115.131.131 SLSK.org
O1 - Hosts: 38.115.131.131 mail.slsk.org
O1 - Hosts: 38.115.131.131 server.slsk.org

Du wirst über einen Server im ausland umgeleitet
Edit: Durch die USA
Dazu das:

Zitat:

O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINNT\system32\lsasss.exe

Kommt mir auch spanisch vor:

Zitat:

O20 - Winlogon Notify: ipxOUT - C:\WINNT\SYSTEM32\ipxOUT.dll

Meiner Meinung nach solltest du dein PC nach dieser Anleitung neuaufsetzen.

Sorry

ööh... ok. und was bedeutet das mit dem usa-umleiten?
ist da nichts anderes zu machen?

Zitat:

Zitat von Apocalypt

Du wirst über einen Server im ausland umgeleitet

Nein, er wird nicht unbedingt umgeleitet. Die Einträge in der hosts-Datei besagen nur, dass bestimmte Servernamen mit bestimmten IP-Adressen verknüpft werden, dass also bei Aufruf des Servernamens X (z. B. durch den Browser) die IP-Adresse Y angesurft wird, ohne z. B. den DNS-Server des Providers zu befragen. Solche Einträge in der hosts-Datei können, müssen aber nicht mit Schädlingsbefall zu tun haben.

Zitat:

Meiner Meinung nach solltest du dein PC nach dieser Anleitung neuaufsetzen.

Ja, das sollte der TO. Denn dieser Eintrag

Zitat:

Zitat:
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINNT\system32\lsasss.exe

dürfte auf Backdoor-Befall hindeuten, möglicherweise durch diesen Kollegen: W32/Yayin-A
Außerdem hat mich aus dem HJT-Log noch eine Bagle-Variante frech angegrinst, die mit einem Rootkit daherkommt:

Zitat:

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidire s\hidr.exe

Daher, colinmel, nimm Apocalypts Rat an, setze dein System neu auf und sichere es vernünftig ab. Den Link zur einschlägigen Anleitung hat er dir bereits gepostet.

vielen dank für die schnellen antworten, auch wenn sie mir anscheinend eine menge arbeit bescheren.
wenn jemand noch einen anderen vorschlag zu machen hat, in dem nicht das wort "neuaufsetzen" vorkommt: immer her damit.