Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Pop up bei Internetstart

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.01.2005, 16:27   #1
Pulwer
 
Pop up bei Internetstart - Standard

Pop up bei Internetstart



Hallo, habe folgendes Problem: wenn ich ins Internet gehe öffnet sich nach ca. 10 Sekunden ein neues Fenster eines sehr dubiosen Urls. In diesem Fenster ist ausschließlich ein weiteres Fenster mit der Startseite einer bekannten Suchmaschine sichtbar. Diese Seite hat sich auch schon während Virenscannings geöffnet.

Quelltext der Seite ist bekannt. Es ist irgendeine Javaanwendung. Wahrscheinlich sollen hier Daten ausspioniert werden.

Virenscanner (Ad-Ware) findet nichts (mehr). Problem besteht weiterhin.

Wie kann man das wieder loswerden? Danke

Geändert von Pulwer (26.01.2005 um 17:35 Uhr)

Alt 26.01.2005, 16:37   #2
Lutz
 

Pop up bei Internetstart - Standard

Pop up bei Internetstart



Zitat:
Wie kann man das wieder loswerden?
In dem Du uns ein bisschen hilfst, Dir zu helfen.
Poste bitte mal ein Log von HijackThis.
__________________

__________________

Alt 26.01.2005, 17:29   #3
Pulwer
 
Pop up bei Internetstart - Standard

Pop up bei Internetstart



Danke, vielleicht hilfts:

Logfile of HijackThis v1.99.0
Scan saved at 17:22:04, on 26.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6...)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\winmx.exe
C:\WINDOWS\System32\lsrv.exe
C:\WINDOWS\System32\scrgrd.exe
C:\WINDOWS\System32\jwin32.exe
C:\mgnm.exe
C:\WINDOWS\SYSCFG16.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\vpc32.exe
C:\recycler\installer.exe
C:\WINDOWS\System32\p6.exe
C:\Programme\SED\SED.exe
C:\Programme\Hotbar\bin\4.5.3.0\HbInst.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBAgent.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\E_S00RP2.EXE
C:\WINDOWS\System32\msupd4.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Dokumente und Einstellungen\XP\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis199.zip\HijackThis.exe

O2 - BHO: (no name) - {2044E074-BC61 ...A3437C0FC5} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\adeffkl.exe
O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\xamlv.exe
O4 - HKLM\..\Run: [MS Plus] jwin32.exe
O4 - HKLM\..\Run: [Services] C:\mgnm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\recycler\installer.exe
O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe
O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe"
O4 - HKLM\..\Run: [Hotbar] C:\Programme\Hotbar\bin\4.5.3.0\HbInst.exe /Upgrade
O4 - HKLM\..\RunServices: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [Windows Update] wamgrd.exe
O4 - HKLM\..\RunServices: [MS Plus] jwin32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [Windows Update] wamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - HKCU\..\Run: [MSNPluginSrvcs] p6.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: eBay Homepage - {D455550-8FF9-4813-B716-F6E74} - http://www.preispiraten.de/cgi...ker...://www.ebay.de (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O16 - DPF: {75D1F3B2-2A21-......DC2A6243} (SecureLogin.SecureControl) - http://secure2.coed.com/ss/ActiveSecurity.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A25AF89-694A...9216E5B6}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{F36BD698-...D7EAA2638F}: NameServer = 185.168...68.122.253
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-8...316290B5B738} - C:\WINDOWS\System32\Mgjjak32.dll
O21 - SSODL: mtklef - {D7D27B28-B9F2-406-C7B9F8F08131} - C:\WINDOWS\System32\bejtg32.dll
O21 - SSODL: mtklefap - {81E77454-0851-4-1714003F63AE} - C:\WINDOWS\System32\vqeec32.dll
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalAgent - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBAgent.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: EPSON V3 Service2(02) - SEIKO EPSON CORPORATION - C:\WINDOWS\System32\E_S00RP2.EXE
O23 - Service: Miscrosoft Updates Service 4 - Unknown - C:\WINDOWS\System32\msupd4.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Update Service - Unknown - C:\WINDOWS\System32\wamgrd.exe (file missing)
__________________

Geändert von Pulwer (28.01.2005 um 11:22 Uhr)

Alt 26.01.2005, 17:34   #4
Kim999
 
Pop up bei Internetstart - Standard

Pop up bei Internetstart



Du hast ein paar Würmchen und sehr sehr viel andere Malware... dein System ist so gut wie gar nicht mehr sicher, ich würde dir empfehlen, vom Netz zu gehen und neu aufzusetzen Da biste viel schneller, als wenn wir jetzt anfangen das alles zu fixen.
Ein kompromittiertes System würde ich nicht mehr in Betrieb nehmen :|

Gute Tips aus dem Protecus Security Forum:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html )
2.) VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren ( http://www.microsoft.com/germany/ms/...windowsxp.mspx )
3.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
4.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
5.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) und mails nur als Textversion, nicht in html anzeigen lassen
6.) Vorsichtig bleiben, nur wirklich als sicher bekannte Mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können ( http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html ), besondere Vorsicht ist bei allen erotischen und [warez] -Seiten geboten
7.) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
8.) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern ueberlegen, ob sie wirklich noetig sind oder moegliche Alternativen in betracht ziehen
9.) keine alten Passworte wiederverwenden, sondern alle neu anlegen
10.) Konsequenzen aus dem Vorfall ziehen und ggf. das eigene Sicherheitskonzept entsprechend anpassen

Tut mir leid, wenn ich dir keine bessere Antwort geben kann.

EDIT: Ad-Aware ist KEIN Virenscanner!!!

EDIT2: Hier ist auch eine SEHR gute Anleitung http://www.trojaner-board.com/showthread.php?t=12154
__________________
Hab ich NULL gewählt????

Alt 26.01.2005, 18:39   #5
Pulwer
 
Pop up bei Internetstart - Standard

Pop up bei Internetstart



Tut mir leid, wenn ich dir keine bessere Antwort geben kann.

EDIT: Ad-Aware ist KEIN Virenscanner!!!


1. Das sind doch schon sehr nützliche Tipps und Links!
2. Was ist Ad-Aware denn sonst?
3, Ich benutze fast ausschließlich Firefox. Dieses Fenster öffnet sich auch mit Firefox.
4. Habe keine Firewall mehr auf dem PC, da Zone-Alarm meinen letzten PC zerstört hat. Das Programm hat sämtliche Internetseiten gesperrt und war danach kaputt. Konnte nichts mehr umstellen, nicht auf die Hilfedatei zurückgreifen und auch nichts mehr downloaden. Sämliche Rettungsversuche waren erfolglos.
5. Eine Firewall habe ich aber über Lycos, womit ich im Internet surfe. Aber das reicht wohl nicht.
PS: Woran sieht man denn, dass es sich teilweise um Würmer etc. handelt?


Geändert von Pulwer (26.01.2005 um 18:50 Uhr)

Alt 26.01.2005, 18:52   #6
Kim999
 
Pop up bei Internetstart - Standard

Pop up bei Internetstart



Ad-Aware scannt nur nach Spyware und (wie der Name schon sagt) Adware. Diese gehören zwaar genauso wie Viren und Würmer zur Malware, sind aber damit nicht zu vergleichen.

http://www.free-av.de AntiVir ist ein kostenloser Scanner
__________________
--> Pop up bei Internetstart

Alt 27.01.2005, 00:44   #7
dartus
 
Pop up bei Internetstart - Standard

Pop up bei Internetstart



Zitat:
PS: Woran sieht man denn, dass es sich teilweise um Würmer etc. handelt?
O4 - HKLM\..\RunServices: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [Windows Update] wamgrd.exe
O4 - HKLM\..\RunServices: [MS Plus] jwin32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe
Falls Du diese Datein noch auf dem Rechner hast vermutlich in Ordern "system32", schau Dir mal per Rechtsmausklick die Eigenschaften an. Check danach mal eine Dir bekannte Anwendung.

dartus

Alt 27.01.2005, 11:17   #8
Pulwer
 
Pop up bei Internetstart - Standard

Pop up bei Internetstart



1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html


Ja, danke. Werde neu formatieren. Der obige Link funktioniert nicht!

Antwort

Themen zu Pop up bei Internetstart
ad-ware, ausspioniert, danke, daten, fenster, folge, folgendes, interne, internet, loswerden, neues, neues fenster, nichts, pop up, problem, scan, scanner, seite, sekunden, start, startseite, suchmaschine, virenscan, wahrscheinlich, weiteres, öffnet





Zum Thema Pop up bei Internetstart - Hallo, habe folgendes Problem: wenn ich ins Internet gehe öffnet sich nach ca. 10 Sekunden ein neues Fenster eines sehr dubiosen Urls. In diesem Fenster ist ausschließlich ein weiteres Fenster - Pop up bei Internetstart...
Archiv
Du betrachtest: Pop up bei Internetstart auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.