Werbe(?)popups nerven mich
 

Also, da ich schonmal hier war hab ich schonmal mit eScan, Ad-Eware gescannt und alles gefundene entfernt troz all dem kommt immer wieder in unregelmäßigen Abständen ein Popup mit der Seite "http://www.securityiguard.com/?wm=poikl&sub=subacc"

Das regt einen ziemlich auf und jetzt weiß ich ohne eure Hilfe nimmer weiter(ich vertraue euch, da ihr mir ja schon mal so toll geholfen habt).

Ich danke euch schonmal im voraus

Hier noch mein Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 22:44:04, on 21.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ircomm2k.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\sys008.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
D:\Logitech\MouseWare\system\em_exec.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Firefox\firefox.exe
C:\DOKUME~1\Ludi\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.kbecehgvyowxvx.info/YOmN_sARVDY8lIu036g05MB4PzNl_45eoH7OwRxX7cWDUpZaUFGK5NP0MyO3BDJq.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://69.50.190.135/?to=FED&from=start_page&type=start_page
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [sys008] C:\WINDOWS\system32\sys008.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] D:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Skype] "d:\Skype\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &eBay Search - res://D:\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {F834FDED-CB7E-4CAC-878B-16089C04EFC7} (Flatcast Producer 4.12) - h**p://www.flatcast.de/objects/NpFp412.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{68D319C6-504E-4D14-8A62-00BB31D2A5FB}: NameServer = 194.25.2.129,195.20.224.234
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: FanSpeedNT Service - Unknown owner - C:\Dokumente und Einstellungen\Ludi\Desktop\fs\fanspeedNT.exe" (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINDOWS\system32\ircomm2k.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE

_____________
Anm.
Aktive Links editiert!
Beachte die Hinweise dieser Anleitung: HiJackThis

LG Cidre
S-Mod TB

des is die seite die mich nervt(aus dem log):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://69.50.190.135/?to=FED&from=s...type=start_page

Hi!

Ich würde dir vorschlagen, deinen Browser zu wechseln. Wie du im Forum sicher sehen kannst, haben unmengen von Leuten das gleiche Problem wie du. Grund dafür sind meistens Sicherheitslöcher im IE.

Ich würde dir empfehlen, FireFox 1.0.4 downzuloaden und installieren (als standart-browser). das habe ich auch seit einigen Wochen, und ich habe seit dem kein einziges problem mehr mit irgendwelchen bösen oder lästigen codes gehabt (viren/würmer/pop-ups).

grüsse,
Mario

PS: FireFox ist sehr ähnlich aufgebaut wie IE, da wirst du sicher kein Problem haben. :)

erm ich benutze seit 2 jahren Firefox XD

Bitte Helf mir weiter

Hilfe, Bitte Helft Mir!!!

OK:

Wenn du FireFox benützt(benützen würdest), dann macht das nichts!

Aktualisiere dein AntiVir und scanne deine gesamten Festplatten durch und lösch ggf. alle infizierten Dateien. Wenn das löschen im normalen Modus nicht funktioniert, mach es im abgesicherten Modus.

grüsse, Mario

Lasse zunächst mal folgende Datei:

C:\WINDOWS\system32\sys008.exe

hier prüfen:

http://virusscan.jotti.org/de/

Evtl. musst du den laufenden Prozess im Taskmanager beenden.

Teile uns die Ergebnisse mit.

1000 dank das war es(hab es noch aus dem Autostart bei msconfig entfernen müssen)

Jetzt ist wieder alles beim alten

P.S.: In der Regestry war komischerweise kein Eintrag vorhanden

Danke nochmal

Datei: sys008.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
FSG

AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
BehavesLike:Trojan.StartPage gefunden (mögliche Variante)
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.StartPage.737 gefunden
F-Prot Antivirus
unknown virus gefunden (mögliche Variante)
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan.Win32.StartPage.yb gefunden
mks_vir
Win32 gefunden (mögliche Variante)
NOD32
probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]

* File might be compressed.
* Creating several executable files on hard-drive.
* File length: 1712 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\sys008.exe.

[ Changes to registry ]
* Creates value "sys008"="C:\WINDOWS\SYSTEM\sys008.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Modifies value "Start Page"="http://69.50.190.135/?to=FED&from=start_page&type=start_page" in key "HKCU\Software\Microsoft\Internet Explorer\Main".

[ Process/window information ]
* Will automatically restart after boot (I'll be back...).
* Attemps to open http://69.50.190.135/?to=FED&from=st...ype=start_page NULL. gefunden
VBA32
Keine Viren gefunden

@lordludwig
lösche diese datei in den abgesicherten modus
C:\WINDOWS\system32\sys008.exe

anschließend kannst du dein system zur sicherheit mit escan
überprüfen
chaosman

jo is weg danke nochma

Das war es leider noch nicht.Poste bitte erneut einen aktuellen Logfile.