PC will verbindungen nach aussen aufnehmen!

#1 Hi zusammen...

Zeit kurzem will mein PC andauernd Verbindungen nach aussen aufnehmen und nachdem ich "Anti-Spy" und auch die gesammtn "Cookies" herrausgenommen habe, scheint es immer schlimmer zu werden! Ich habe dann immer ein POPUP Fenster das wie ähnlich aussieht:" Ein bestehendes Programm will Verbindung nach www.ulter.nl aufnehmen. Welche Verbindung soll dafür benutzt werden!"
Jetzt habe ich auf kleinstarbeit versucht diese Programme/installationen zu finden (immerhin habe ich das Gefühl es sind über 20 solcher Fälle bei mir) aber ich finde nix

Habt ihr eine Idee was es sein könnte und wie ich es vernichteeeee??

Danke euch und bitte grübelt nach!!

JMC

#2 Versuch mal das hier:

In der Systemsteuerung -> Internetoptionen -> Register Verbindungen -> Radio-Button "Keine Verbindung wählen" und mit ok bestätigen.

Damit werden vermutlich keine Popup Fenster mehr erscheinen. Ich könnte mir vorstellen, dass viele Programme die im Internet automatisch z.B. nach updates suchen wollen dieses Popup Fenster verursachen (sicher bin ich mir nicht).

Gruß

#3 @JMC

Das hier ausführenm und dann HiAjckThis Logfile hier posten
http://board.protecus.de/t9373.htm

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#4

Zitat

paff postete
@JMC

Das hier ausführenm und dann HiAjckThis Logfile hier posten
http://board.protecus.de/t9373.htm

Gruß paff

Hi und danke für deine Reaktion. Leider ist es aber so, daß sobald ich auf den Link anklicke - ich sofort wieder geschmissen werde!

Erläuterung:
Ich klicke auf den Link von "HijackThis! » downloaden + Logfile erstellen" auf der oben angegebenen Seite und ein neues Fenster öffnet sich. Leider schließt es sich aber auch wieder sofort. Ich kann noch nicht einmal den Aufbau der Seite sehen!
Kann es sein, daß hier bei mir ein Programm wütet, daß diverse Seiten sofort wieder schließt, damit es nicht entdeckt wird?

JMC

#5

Zitat

JMC postete
Kann es sein, daß hier bei mir ein Programm wütet, daß diverse Seiten sofort wieder schließt, damit es nicht entdeckt wird?
JMC

Dem ist wohl so.

Probier mal über google HijackThis zu finden, wenn die unten angegebenen Links nicht funktionieren

HiJackThis downloads
http://www.chip.de/downloads/c_downloads_11353576.html
http://www.lurkhere.com/~nicefiles/
http://www.spywareinfo.com/downloads/tools/HijackThis.exe
http://www.zerosrealm.com/downloads/hjt.zip
http://www.spywareinfo.com/~merijn/files/HijackThis.exe
http://download.com.com/3000-2144-10227352.html

Also
1.downloaden
2. starten
3. scan drücken
4. save log
5. Inhalt hier posten


Poste bitte auch den Inhalt dieser Datei
C:\WINNT\system32\drivers\etc\hosts

Gruß paff
P.S.
Wenn's nicht klappt einfach Private Mail mit EMail Addy schrieben, ich schicks dir dann.
Alternativ kannst du auch die Anleitung nehmen
http://www.rokop-security.de/main/article.php?sid=703
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#6 @ Paff

Also das mit dem Programm "Hijack This" ist echt der Hammer! Ich habe es zwar durch Umwege auf die Festplatte bekommen indem ich die .exe umbenannt habe beim installieren aber jetzt halte dich fest. Das Programm lässt sich installieren. Auch nicht über die Softwareinstallierung von Win XP. Vielleicht fällt dir ja noch was ein??

Ich habe das Programm aber jetzt.

Jetzt zum 2.

Ich habe es gefunden und poste es hier rein und hoffe du kannst mir damit helfen!!

127.0.0.1 localhost

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com


Das war es. Habe keine Ahnung wo da der Fehler sein soll aber vielleicht siehst du ja was?!

Danke dir aber definitiv...
JMC

#7 schau mal in c:\Windows\System32\drivers\etc\hosts rein, was da drin steht.

Im Normalfall sollte dass hier drin stehen.
127.0.0.1 localhost
#Orginal Host Datei

alles andere loeschen
------------------------------------------------------------------

"Deaktiviere die Wiederherstellung

#Loesche die TemporaryInternetFiles und Cookies unter InternetOptionen .

#Lade (falls jetzt moeglich den e-scann(mwav.exe), scanne alle Dateien und loesche manuell, was das Tool anzeigt.
http://www.mwti.net/antivirus/free_utilities.asp

#Lade AdAware(free-version...updaten vor dem Scannen), Spybot, CWSHredder und Sphj.exe (letztere zwei ohne Internetverbindung) scannen
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

#Dann laedst du von dieser Site den HijackThis , scannst, save und kopierst das SaveLog ins Forum.
http://board.protecus.de/t9391.htm
Lade es also noch einmal.

Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#8 @ Sabina

Also ich habe alles andere gelöscht und habe versucht auf deinen Link zu kommen! Hat natürlich nicht funktioniert und ich habe dann auch versucht die Exe zu starten die ich bereits gezogen habe und bei mir auf dem Desktop liegt! Hat natürlich auch nicht funktioniert (Fenster auf und direkt zu).

Habe dann einen Neustart gemacht und dies brachte mir auch nix...

Jetzt macht sich bei mir die Verzweiflung breit und ich überlege gerade, wie hoch hier die Etage ist, damit ich mich nicht umsonst aus dem Fenster stürze!!!!!!

;-)

JMC

#9 @JMC

Starte bitte deinen Computer im "abgesicherten Modus"
http://www.bsi.de/av/texte/winsave.htm

Starte HiJackThis.
Speichere Logfile

Neustart in normalen Modus

Logfile posten

Gruß paff
Die hosts Datei hast du verändert wie Sabina gesagt hat.
Es darf wirklich nur
127.0.0.1 localhost
drinstehen
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#10 hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit.
du musst auf alle Faelle versuchen , die Hostdatei zu saeubern, oder manuell, oder mit dem Tool, denn sonst kommst du auf keinen der geposteten Seiten mehr.
---------------------------------------------------------------
Versuche auch mal den Firefox zu laden.
Vielleicht geht es damit.
http://firebird.stw.uni-duisburg.de/windows.php
Vielleicht kannst du jetzt folgendes laden:
Lade (falls jetzt moeglich den e-scann(mwav.exe), scanne alle Dateien und loesche manuell, was das Tool anzeigt.
http://www.mwti.net/antivirus/free_utilities.asp
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
CWShredder und Sphjfix.exe und AdAware (free)
Falls es gelingt, scanne mit diesen Tools im abgesicherten Modus

-------------------------------------------------------
und loesche im IE die TemporaryInternetFiles.
Aber am wichtigsten ist die saubere Host.

Dann lade den HijackThis und gehe in den abgesicherten Modus scanne, save , neustarten und kopiere das Log ins Forum.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 @ paff

Also ich habe es endlich geschafft "hijackthis" im Offlinemodus ab zu spielen und habe auch nun die Daten die er mir rausgeworfen hat kopiert. Ich hoffe mal, daß dort nix privates drinnen steht und vertraue euch einfach mal (nix persönliches, also nit bös sein)

---------------------- Anfang ---------------

Scan saved at 12:32:26, on 27.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Admin\Desktop\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] e:\programme\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Google Companion] gcompanion.com
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\Run: [Win32 Sound Config] win32snd.exe
O4 - HKLM\..\Run: [Windows DLL] C:\WINDOWS\RUNDLL16.EXE
O4 - HKLM\..\Run: [SysInit] wininit32.exe -services
O4 - HKLM\..\RunServices: [Google Companion] gcompanion.com
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\RunServices: [Win32 Sound Config] win32snd.exe
O4 - HKLM\..\RunServices: [SysInit] wininit32.exe -services
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKCU\..\Run: [Win32 Sound Config] win32snd.exe
O4 - HKCU\..\Run: [SysInit] wininit32.exe -drivers
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38132.2065277778
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/Sasser/20/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

---------------- Ende ------------------------

Ich hoffe ihr könnt mir nun Helfen, daß Problem im Griff zu bekommen und ich bedanke mich noch einmal für eure Geduld. Hätte echt nicht gedacht, daß ihr mir über so einen Zeitraum helfen würdet.

DANKE

JMC[/b]

#12 lade Antivir.
http://www.free-av.com/
Deaktiviere die Wiederherstellung kannst du nach der Reinigung wieder aktiviren)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924


Fixe im abgesicherten Modus:

O4 - HKLM\..\Run: [Google Companion] gcompanion.com
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\Run: [Win32 Sound Config] win32snd.exe
O4 - HKLM\..\Run: [Windows DLL] C:\WINDOWS\RUNDLL16.EXE
O4 - HKLM\..\Run: [SysInit] wininit32.exe -services
O4 - HKLM\..\RunServices: [Google Companion] gcompanion.com
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\RunServices: [Win32 Sound Config] win32snd.exe
O4 - HKLM\..\RunServices: [SysInit] wininit32.exe -services
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKCU\..\Run: [Win32 Sound Config] win32snd.exe
O4 - HKCU\..\Run: [SysInit] wininit32.exe -drivers


Antivir. , stellst <alle Dateien scannen< ein und scannst im abgesicherten Modus (Vollscann)

neustarten

Lade mwav.exe und <scanne alle Dateien<, loesche manuell, was das Tool nicht loescht
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm
Lade AdAware (free), update und scanne
http://lavasoft.element5.com/german/support/download/

Dann poste das Log noch einmal.
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#13 @ Sabina

Was heisst:" Fixe im abgesicherten Modus:"??

*schääämmmm*

#14 du gehst in den abgesicherten Modus (F8 beim Hochfahren druecken.
Dort scannst du den HijackThis und hakst an, was ich gepostet habe und dann <fix<
Dann scannst du mit dem vorher geladenen Antivir. und dann mit dem mwav.exe und AdAware,

MfG
Sabina

http://www.hacksoft.com.pe/virus/w32_xabot.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#15 ok - mache ich jetzt! Komme mir mittlerweile echt bescheuert vor!