Internet Explorer öffnet ständig neue Fenster
 

Hoi!

Ich habe seit heute das Problem, dass mein Internet Explorer in (anscheinend unregelmäßigen) Abständen immer wieder kleine Fenster öffnet und diverse Seiten öffnet (soweit ich das sehe keine XXX-Seiten, sondern reine Werbe-Seiten). Ich habe mich, gemäß den Forenregeln, bereits schlau gemacht, dabei auch zwei Threads in diesem Forum gefunden, die das gleiche Thema behandelt haben, bei denen die Lösung mir aber nicht geholfen hat (h**p://www.trojaner-board.de/53006-ie-fenster-wird-automatisch-gestartet-mit-werbung.html bzw. h**p://www.trojaner-board.de/26665-internet-explorer-oeffnet-immer-neue-fenster.html).

Ich habe schon so ziemlich alle Programme von Spyware Doctor über Malwarebytes und diverse andere ausprobiert, aber keines konnte das Problem lösen.

Hier mein HiJack Log:

HiJackthis Logfile:
--- --- ---


Bei dem

handelt es sich offenbar um ein sehr gefährliches Programm, leider funktioniert keiner der Lösungsansätze (zwecks Elimination), die ich bisher ausprobiert habe.

Ich hoffe, mir kann jemand behilflich sein.

mfG

Apehead

PS: Ich benutze standardmäßig den FF, der IE ist bei mir eigentlich überflüssig.

Check mal bitte folgende Dateien bei Virustotal.com
Poste hier dann die einzelnen Links zu den Ergebnissen

Hi!

Erstmal vielen Dank für die Hilfe!

Bezüglich der Links, da bin ich mir nicht sicher ob andere die lesen können, die scheinen an eine Session-ID gekoppelt zu sein. Aber ich versuche es einfach mal:

Uhixoa.exe: h**p://www.virustotal.com/de/analisis/32d6651f7ecfff279565c58d48c836147d73c8f5afb80f6eae440bfcc6fe5d42-1277925247

ugcee.exe: h**p://www.virustotal.com/de/analisis/8b6187793fd032aeabe388a02488793f6745ef767038492678efc0f807b11000-1277925553

Eine sysytj32.exe ließ sich auf der Festplatte (leider?!) nicht auftreiben, auch nicht als versteckte Datei.

LG

Apehead

Also bei der ersten Datei habe ich anscheinend getroffen.
Die 2te kommt mir, weil sie im Systemstart ist und eines so interessanten Pfad/Namen hat sehr verdächtig vor.
Aber sie wird nicht als Malware erkannt. Daher wird sie erstmal ausgelassen.

Tut mir leid: Ich hab mich etwas verschrieben: Nicht "sysytj32.exe" sondern "sisytj32.exe"
Die Datei bitte überprüfen. Sie ist soweit ich weis, im Autostart Ordner.(Dokumente und Einstellungen\%Benutzername%\Startmenü\Autostart)

Hallo!

Also, ich habe keine sisytj32.exe gefunden, dafür aber eine Datei namens "SISYTJ32.EXE-1513B72B.pf" im Ordner "C:\Windows\Prefetch". Die ist laut virustotal.com aber nicht gefährlich:

h**p://www.virustotal.com/de/analisis/5c91cc173ee586972043f68f9add11d21af804d81f029915561b44eb13c38a98-1277928479

Komischerweise habe ich jetzt aber auch keine komischen IE-Fenster mehr, das Problem scheint also erledigt zu sein (hatte OTL und Malwarebytes' nochmal drüberlaufen lassen) und dann die Uhixoa beendet bzw. gelöscht (über die es im Internet allerdings komischerweise keinerlei Informationen gibt).

HiJackthis Logfile:
--- --- ---


Vielen Dank auf jeden Fall für deine Hilfe!

LG

Apehead

Es lag also wohl an der Uhixoa.exe.
Aber ich fürchte wir sind noch nicht fertig.
Diese sisytj32.exe besitzt dem Internet nach Rootkit Funktionalität.
Mach bitte einen vollständigen Suchlauf mit Malwarebytes und poste hier das Log.
Dann wäre auch ein Log von GMER ganz sinnvoll.

Sehe grad: die sisytj32.exe ist wohl weg.
Ein GMER scan wäre aber trotzdem nicht schlecht.

Hi!

Beim GMER-Scan friert das Programm ein wenn der Suchlauf beendet ist und ich das Log sichern will, dann reagiert nichts mehr (obwohl ich alle Programme beendet und nichts am PC gemacht habe).

Das MBAM-Log: Diese Disabled.SecurityCenter-Einträge lassen sich nicht löschen (auch nicht per Neustart und auch nicht per ComboBox). Ich denke, sie sind dafür verantwortlich, dass bei jedem Neustart des Rechners unten rechts wieder die Warnhinweise auftauchen, dass meine Windows Firewall nicht aktiv ist (obwohl ich die Warnhinweises jedes Mal deaktiviere).

LG

Apehead

Hat GMER denn irgendwas gefunden? (Rote Einträge)
Mach doch bitte einen vollständigen (keinen quick) Malwarebytes Suchlauf.
Wenn was gefunden wird, bitte posten.

Hi!

Nein, nichts rot.

LG

Apehead

Also mir kommt diese Datei immernoch verdächtig vor.
Mach mal folgendes:

Drück (*Windowstaste* R)
Gib dann "msconfig" ein
Klick auf die Registerkarte "Systemstart"
Entferne das Häckchen für den Oben genannten Eintrag.
Starte den PC neu.

Sag bescheid ob danach noch alles richtig funktioniert.

Hi!

Den Eintrag finde ich dort leider nicht!

LG

Apehead

Dann geh einfach in das Verzeichnis und benenne die ugcee.exe nach verdächtig.exe um.
Du musst evtl. den Prozess erst im Taskmanager beenden.
Mach danach einen Neustart

Hi!

Die Datei scheint nicht mehr zu existieren. Sie wurde anscheinend von meinem AntiVir in Quarantäne verschoben. Hier das MBAM-Log:

Die drei fragwürdigen Einträge gibt es immernoch, aber die Windows Erinnerung wird jetzt nicht mehr automatisch dargestellt, scheint also alles in Ordnung zu sein. Vielleicht sind das auch gar keine Schadprogramme, sondern einfach Windows-Dienste.

Auf jeden Fall vielen Dank für deine Hilfe!

LG

Apehead

Also ich glaube wir sind tatsächlich fertig.

Dann sag ich mal, du bist entlassen;)

zum Xten mal. HJT ist zuwenig um ein System als Clean zu geben.
Tu uns einen gefallen und sie uns etwas über die Schulter.
Wenn Du es lernen willst wies geht, kannst Du mich via PM kontaktieren.

Malware ist nicht irgendeine Spielerei oder ein Computerspiel. Da gehts um persönliche Daten, Geld usw. Ich denke Du unterschätzt das ein bisschen.


ApeHead ich möchte da noch etwas graben

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hi Larusso!

Hier das geforderte Log:

OTL Logfile:
--- --- ---


LG

Apehead

Schritt 1

Deinstalliere bitte
DAEMON Tools Toolbar
Ask.com (alles was ASK enthält)



Schritt 2

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Wer und Wo hat man dir gesagt das Du ComboFix laufen lassen sollst?
Poste mir den Inhalt von ComboFix.txt


Bitte poste in Deiner nächsten Antwort
OTLFix Log
Combofix.txt

Hi!

Schritt 1: Erledigt

Schritt 2: Erledigt

Schritt 3: Ich hatte zu dem Problem schon recherchiert und habe in einem anderen Forum (ich glaube, es war das Hijack This-Forum, bin mir aber nicht sicher, auf jeden Fall ein auf die Beseitigung von Malware spezialisiertes Forum) gelesen, dass der betreffende User (der das selbe Problem hatte, das sich ja aber inzwischen bei mir erledigt hat) das ComboFix-Log laufen lassen soll.

Bei mir hängt sich das Programm leider auf, bzw. es wird ein Fehler erzeugt (mit.. bla bla Fehlerbericht senden, etc.). Daher kann ich kein Log posten.

LG

Apehead

Das Logfile ist vorhanden.

[2010.07.01 09:13:36 | 000,021,359 | ---- | M] () -- C:\ComboFix.txt

Hi!

Upsa, du hast Recht. Weiß aber nicht, wie aussagekräftig der Inhalt noch ist. Schließlich ist es von gestern und seitdem hab ich einige Programme drüberlaufen lassen:

Combofix Logfile:
--- --- ---

LG

Apehead

Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!


Gehe auf die Mircosoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.

http://i94.photobucket.com/albums/l8...ungskonsol.png

Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab.

http://i94.photobucket.com/albums/l8...onsole_ani.gif

Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.

• Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
• Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
• Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Hi!

Ich habe deine Anweisungen befolgt, leider kommt immernoch eine Fehlermeldung (h**p://img404.imageshack.us/img404/2069/screenerror.png).

LG

Apehead

Edit

Schritt 1

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat, poste mir den Inhalt des Textdokuments.
Vista- User: Mit Rechtsklick "als Administrator starten"


Schritt 2

• ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button "ESET Online Scanner" drücken.
• Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
• Das Firefox-Addon auf dem Desktop speichern und dann installieren.
• IE-User müssen das Installieren eines ActiveX Elements erlauben.
• Einen Haken bei "Remove found threads" und "Scan archives" machen.
• Start drücken.
• Signaturen werden heruntergeladen.
• Der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
• IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
• O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

Hi!

Nummer 1:

Und Nummer 2:

Anmerkung: smss.exe war die umbenannte Combo-Fix.exe.

LG

Apehead

Noch Probleme ?

Hi!

Ne, läuft jetzt alles einwandfrei.

Vielen Dank! :)

LG

Apehead

Logfile ist sauber :daumenhoc

Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

Schritt 1

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch auch dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.



Schritt 2

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.


Schritt 3

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.


Schritt 4

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.

• SpywareBlaster
  Ein Tutorial zur Verwendung findest Du Hier
  
  
• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
  Hinweis: MBAM ersetzt keine Anti- Viren- Software.
  
  
• Temp File Cleaner
  TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
  Ausserdem hilft es Deinen Computer zu beschleunigen.
  Du kannst Dir TFC ( by OldTimer ) hier downloaden.
  
  
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  
  
• Halte Dein System aktuell
  Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
  Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
  Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.
  
  
• Halte Deine Software aktuell
  Der einfachste Weg dafür ist der Secunia Online Software.

Schritt 5

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.

• NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  
  
• AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.
  
  
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hi!

Es ist alles erledigt, ich habe keine Fragen mehr.

Danke! :)

LG

Apehead

Dieses Thema scheint erledigt und wird aus den Abos gelöscht. Solltest Du das Thema erneut benötigen, bitte eine PN an mich.

Jeder andere möge bitte einen eigenen Thread starten.