![]() |
|
Plagegeister aller Art und deren Bekämpfung: Pop up bei InternetstartWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() Pop up bei Internetstart Hallo, habe folgendes Problem: wenn ich ins Internet gehe öffnet sich nach ca. 10 Sekunden ein neues Fenster eines sehr dubiosen Urls. In diesem Fenster ist ausschließlich ein weiteres Fenster mit der Startseite einer bekannten Suchmaschine sichtbar. Diese Seite hat sich auch schon während Virenscannings geöffnet. Quelltext der Seite ist bekannt. Es ist irgendeine Javaanwendung. Wahrscheinlich sollen hier Daten ausspioniert werden. Virenscanner (Ad-Ware) findet nichts (mehr). Problem besteht weiterhin. Wie kann man das wieder loswerden? Danke Geändert von Pulwer (26.01.2005 um 17:35 Uhr) |
![]() | #2 | |
![]() ![]() | ![]() Pop up bei InternetstartZitat:
Poste bitte mal ein Log von HijackThis.
__________________ |
![]() | #3 |
| ![]() Pop up bei Internetstart Danke, vielleicht hilfts:
__________________Logfile of HijackThis v1.99.0 Scan saved at 17:22:04, on 26.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6...) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\WINDOWS\System32\winmx.exe C:\WINDOWS\System32\lsrv.exe C:\WINDOWS\System32\scrgrd.exe C:\WINDOWS\System32\jwin32.exe C:\mgnm.exe C:\WINDOWS\SYSCFG16.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\vpc32.exe C:\recycler\installer.exe C:\WINDOWS\System32\p6.exe C:\Programme\SED\SED.exe C:\Programme\Hotbar\bin\4.5.3.0\HbInst.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBAgent.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\E_S00RP2.EXE C:\WINDOWS\System32\msupd4.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Dokumente und Einstellungen\XP\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis199.zip\HijackThis.exe O2 - BHO: (no name) - {2044E074-BC61 ...A3437C0FC5} - (no file) O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [Microsoft CONFIG] winmx.exe O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\adeffkl.exe O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\xamlv.exe O4 - HKLM\..\Run: [MS Plus] jwin32.exe O4 - HKLM\..\Run: [Services] C:\mgnm.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\recycler\installer.exe O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe" O4 - HKLM\..\Run: [Hotbar] C:\Programme\Hotbar\bin\4.5.3.0\HbInst.exe /Upgrade O4 - HKLM\..\RunServices: [Microsoft CONFIG] winmx.exe O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe O4 - HKLM\..\RunServices: [Windows Update] wamgrd.exe O4 - HKLM\..\RunServices: [MS Plus] jwin32.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Microsoft CONFIG] winmx.exe O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe O4 - HKCU\..\Run: [Windows Update] wamgrd.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe O4 - HKCU\..\Run: [MSNPluginSrvcs] p6.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: eBay Homepage - {D455550-8FF9-4813-B716-F6E74} - http://www.preispiraten.de/cgi...ker...://www.ebay.de (file missing) O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll O16 - DPF: {75D1F3B2-2A21-......DC2A6243} (SecureLogin.SecureControl) - http://secure2.coed.com/ss/ActiveSecurity.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3A25AF89-694A...9216E5B6}: NameServer = 217.237.149.161 217.237.151.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{F36BD698-...D7EAA2638F}: NameServer = 185.168...68.122.253 O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-8...316290B5B738} - C:\WINDOWS\System32\Mgjjak32.dll O21 - SSODL: mtklef - {D7D27B28-B9F2-406-C7B9F8F08131} - C:\WINDOWS\System32\bejtg32.dll O21 - SSODL: mtklefap - {81E77454-0851-4-1714003F63AE} - C:\WINDOWS\System32\vqeec32.dll O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: EpsonBidirectionalAgent - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBAgent.exe O23 - Service: EpsonBidirectionalService - Unknown - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: EPSON V3 Service2(02) - SEIKO EPSON CORPORATION - C:\WINDOWS\System32\E_S00RP2.EXE O23 - Service: Miscrosoft Updates Service 4 - Unknown - C:\WINDOWS\System32\msupd4.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Windows Update Service - Unknown - C:\WINDOWS\System32\wamgrd.exe (file missing) Geändert von Pulwer (28.01.2005 um 11:22 Uhr) |
![]() | #4 |
![]() ![]() | ![]() Pop up bei Internetstart Du hast ein paar Würmchen und sehr sehr viel andere Malware... dein System ist so gut wie gar nicht mehr sicher, ich würde dir empfehlen, vom Netz zu gehen und neu aufzusetzen ![]() Ein kompromittiertes System würde ich nicht mehr in Betrieb nehmen :| Gute Tips aus dem Protecus Security Forum: 1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html ) 2.) VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren ( http://www.microsoft.com/germany/ms/...windowsxp.mspx ) 3.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren 4.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen 5.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) und mails nur als Textversion, nicht in html anzeigen lassen 6.) Vorsichtig bleiben, nur wirklich als sicher bekannte Mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können ( http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html ), besondere Vorsicht ist bei allen erotischen und [warez] -Seiten geboten 7.) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 8.) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern ueberlegen, ob sie wirklich noetig sind oder moegliche Alternativen in betracht ziehen 9.) keine alten Passworte wiederverwenden, sondern alle neu anlegen 10.) Konsequenzen aus dem Vorfall ziehen und ggf. das eigene Sicherheitskonzept entsprechend anpassen Tut mir leid, wenn ich dir keine bessere Antwort geben kann. EDIT: Ad-Aware ist KEIN Virenscanner!!! EDIT2: Hier ist auch eine SEHR gute Anleitung http://www.trojaner-board.com/showthread.php?t=12154
__________________ Hab ich NULL gewählt???? |
![]() | #5 |
| ![]() Pop up bei Internetstart Tut mir leid, wenn ich dir keine bessere Antwort geben kann. EDIT: Ad-Aware ist KEIN Virenscanner!!! 1. Das sind doch schon sehr nützliche Tipps und Links! 2. Was ist Ad-Aware denn sonst? 3, Ich benutze fast ausschließlich Firefox. Dieses Fenster öffnet sich auch mit Firefox. 4. Habe keine Firewall mehr auf dem PC, da Zone-Alarm meinen letzten PC zerstört hat. Das Programm hat sämtliche Internetseiten gesperrt und war danach kaputt. Konnte nichts mehr umstellen, nicht auf die Hilfedatei zurückgreifen und auch nichts mehr downloaden. Sämliche Rettungsversuche waren erfolglos. 5. Eine Firewall habe ich aber über Lycos, womit ich im Internet surfe. Aber das reicht wohl nicht. PS: Woran sieht man denn, dass es sich teilweise um Würmer etc. handelt? Geändert von Pulwer (26.01.2005 um 18:50 Uhr) |
![]() | #6 |
![]() ![]() | ![]() Pop up bei Internetstart Ad-Aware scannt nur nach Spyware und (wie der Name schon sagt) Adware. Diese gehören zwaar genauso wie Viren und Würmer zur Malware, sind aber damit nicht zu vergleichen. http://www.free-av.de AntiVir ist ein kostenloser Scanner ![]()
__________________ --> Pop up bei Internetstart |
![]() | #7 | |
![]() ![]() | ![]() Pop up bei InternetstartZitat:
O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe O4 - HKLM\..\RunServices: [Windows Update] wamgrd.exe O4 - HKLM\..\RunServices: [MS Plus] jwin32.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe Falls Du diese Datein noch auf dem Rechner hast vermutlich in Ordern "system32", schau Dir mal per Rechtsmausklick die Eigenschaften an. Check danach mal eine Dir bekannte Anwendung. dartus |
![]() | #8 |
| ![]() Pop up bei Internetstart 1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html Ja, danke. Werde neu formatieren. Der obige Link funktioniert nicht! |
![]() |
Themen zu Pop up bei Internetstart |
ad-ware, ausspioniert, danke, daten, fenster, folge, folgendes, interne, internet, loswerden, neues, neues fenster, nichts, pop up, problem, scan, scanner, seite, sekunden, start, startseite, suchmaschine, virenscan, wahrscheinlich, weiteres, öffnet |