Hallo, habe folgendes Problem: wenn ich ins Internet gehe öffnet sich nach ca. 10 Sekunden ein neues Fenster eines sehr dubiosen Urls. In diesem Fenster ist ausschließlich ein weiteres Fenster mit der Startseite einer bekannten Suchmaschine sichtbar. Diese Seite hat sich auch schon während Virenscannings geöffnet.

Quelltext der Seite ist bekannt. Es ist irgendeine Javaanwendung. Wahrscheinlich sollen hier Daten ausspioniert werden.

Virenscanner (Ad-Ware) findet nichts (mehr). Problem besteht weiterhin.

Wie kann man das wieder loswerden? Danke

Zitat:

Wie kann man das wieder loswerden?

In dem Du uns ein bisschen hilfst, Dir zu helfen.
Poste bitte mal ein Log von HijackThis.

Danke, vielleicht hilfts:

Logfile of HijackThis v1.99.0
Scan saved at 17:22:04, on 26.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6...)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\winmx.exe
C:\WINDOWS\System32\lsrv.exe
C:\WINDOWS\System32\scrgrd.exe
C:\WINDOWS\System32\jwin32.exe
C:\mgnm.exe
C:\WINDOWS\SYSCFG16.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\vpc32.exe
C:\recycler\installer.exe
C:\WINDOWS\System32\p6.exe
C:\Programme\SED\SED.exe
C:\Programme\Hotbar\bin\4.5.3.0\HbInst.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBAgent.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\E_S00RP2.EXE
C:\WINDOWS\System32\msupd4.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Dokumente und Einstellungen\XP\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis199.zip\HijackThis.exe

O2 - BHO: (no name) - {2044E074-BC61 ...A3437C0FC5} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\adeffkl.exe
O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\xamlv.exe
O4 - HKLM\..\Run: [MS Plus] jwin32.exe
O4 - HKLM\..\Run: [Services] C:\mgnm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\recycler\installer.exe
O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe
O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe"
O4 - HKLM\..\Run: [Hotbar] C:\Programme\Hotbar\bin\4.5.3.0\HbInst.exe /Upgrade
O4 - HKLM\..\RunServices: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [Windows Update] wamgrd.exe
O4 - HKLM\..\RunServices: [MS Plus] jwin32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [Windows Update] wamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - HKCU\..\Run: [MSNPluginSrvcs] p6.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: eBay Homepage - {D455550-8FF9-4813-B716-F6E74} - http://www.preispiraten.de/cgi...ker...://www.ebay.de (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O16 - DPF: {75D1F3B2-2A21-......DC2A6243} (SecureLogin.SecureControl) - http://secure2.coed.com/ss/ActiveSecurity.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A25AF89-694A...9216E5B6}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{F36BD698-...D7EAA2638F}: NameServer = 185.168...68.122.253
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-8...316290B5B738} - C:\WINDOWS\System32\Mgjjak32.dll
O21 - SSODL: mtklef - {D7D27B28-B9F2-406-C7B9F8F08131} - C:\WINDOWS\System32\bejtg32.dll
O21 - SSODL: mtklefap - {81E77454-0851-4-1714003F63AE} - C:\WINDOWS\System32\vqeec32.dll
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalAgent - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBAgent.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: EPSON V3 Service2(02) - SEIKO EPSON CORPORATION - C:\WINDOWS\System32\E_S00RP2.EXE
O23 - Service: Miscrosoft Updates Service 4 - Unknown - C:\WINDOWS\System32\msupd4.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Update Service - Unknown - C:\WINDOWS\System32\wamgrd.exe (file missing)

Du hast ein paar Würmchen und sehr sehr viel andere Malware... dein System ist so gut wie gar nicht mehr sicher, ich würde dir empfehlen, vom Netz zu gehen und neu aufzusetzen Da biste viel schneller, als wenn wir jetzt anfangen das alles zu fixen.
Ein kompromittiertes System würde ich nicht mehr in Betrieb nehmen :|

Gute Tips aus dem Protecus Security Forum:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html )
2.) VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren ( http://www.microsoft.com/germany/ms/...windowsxp.mspx )
3.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
4.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
5.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) und mails nur als Textversion, nicht in html anzeigen lassen
6.) Vorsichtig bleiben, nur wirklich als sicher bekannte Mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können ( http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html ), besondere Vorsicht ist bei allen erotischen und [warez] -Seiten geboten
7.) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
8.) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern ueberlegen, ob sie wirklich noetig sind oder moegliche Alternativen in betracht ziehen
9.) keine alten Passworte wiederverwenden, sondern alle neu anlegen
10.) Konsequenzen aus dem Vorfall ziehen und ggf. das eigene Sicherheitskonzept entsprechend anpassen

Tut mir leid, wenn ich dir keine bessere Antwort geben kann.

EDIT: Ad-Aware ist KEIN Virenscanner!!!

EDIT2: Hier ist auch eine SEHR gute Anleitung http://www.trojaner-board.com/showthread.php?t=12154

Tut mir leid, wenn ich dir keine bessere Antwort geben kann.

EDIT: Ad-Aware ist KEIN Virenscanner!!!


1. Das sind doch schon sehr nützliche Tipps und Links!
2. Was ist Ad-Aware denn sonst?
3, Ich benutze fast ausschließlich Firefox. Dieses Fenster öffnet sich auch mit Firefox.
4. Habe keine Firewall mehr auf dem PC, da Zone-Alarm meinen letzten PC zerstört hat. Das Programm hat sämtliche Internetseiten gesperrt und war danach kaputt. Konnte nichts mehr umstellen, nicht auf die Hilfedatei zurückgreifen und auch nichts mehr downloaden. Sämliche Rettungsversuche waren erfolglos.
5. Eine Firewall habe ich aber über Lycos, womit ich im Internet surfe. Aber das reicht wohl nicht.
PS: Woran sieht man denn, dass es sich teilweise um Würmer etc. handelt?

Ad-Aware scannt nur nach Spyware und (wie der Name schon sagt) Adware. Diese gehören zwaar genauso wie Viren und Würmer zur Malware, sind aber damit nicht zu vergleichen.

http://www.free-av.de AntiVir ist ein kostenloser Scanner

Zitat:

PS: Woran sieht man denn, dass es sich teilweise um Würmer etc. handelt?

O4 - HKLM\..\RunServices: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [Windows Update] wamgrd.exe
O4 - HKLM\..\RunServices: [MS Plus] jwin32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe
Falls Du diese Datein noch auf dem Rechner hast vermutlich in Ordern "system32", schau Dir mal per Rechtsmausklick die Eigenschaften an. Check danach mal eine Dir bekannte Anwendung.

dartus

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html


Ja, danke. Werde neu formatieren. Der obige Link funktioniert nicht!