Browser sendet Signale->SearchURL = http://216.65.3.72/search.php

#31 Ja, es ist alles sauber .

Ich hoffe, dass du auch keine Hack-oder Fehlermeldungen mehr erhaelst

MSdosEigabeaufforderung "netstat -a" -->ueberpruefen, bitte .

Du kannst dann noch mal den Win98 ueberpruefen (denn , soweit ich verstanden habe, war die Saeuberung fuer den XP)
__________
MfG Sabina

rund um die PC-Sicherheit

#32 Hallo Sabina,
ich rufe Firebird auf und warte einige Zeit. Startseite habe ich vorher weggemacht.netstat

-n zeigt keine Verbindung an, wie es sollte. Hier nochmal log von jetico dazu. Woher kommt

der remote 239.255.255.250 und was bedeutet er? Sind die IP unter sourceadress und

destination Portscans? Oder was haben die zu bedeuten.



09.01.2005 15:54:11.984 ask TCP/IP send datagrams C:\WINDOWS\System32\svchost.exe

127.0.0.1 239.255.255.250 3036 1900 PID: 620; Connection: 9B
09.01.2005 15:54:17.593 Policy "Optimal Protection" loaded
09.01.2005 15:55:16.343 reject Block All not Processed IP Packets 40 2

outgoing packet 212.144.131.186 224.0.0.22 TTL: 1; TOS: 0; ID: B501
09.01.2005 15:55:16.406 ask TCP/IP send datagrams C:\WINDOWS\System32\svchost.exe

212.144.131.186 255.255.255.255 68 67 PID: 620; Connection: A9
09.01.2005 15:55:17.312 reject Block All not Processed IP Packets 40 2

outgoing packet 212.144.131.186 224.0.0.22 TTL: 1; TOS: 0; ID: B601
09.01.2005 15:55:21.031 Policy "Optimal Protection" loaded
09.01.2005 15:55:21.031 ask TCP/IP send datagrams C:\WINDOWS\System32\svchost.exe

212.144.131.186 255.255.255.255 68 67 PID: 620; Connection: A9
09.01.2005 15:55:29.281 Policy "Optimal Protection" loaded
09.01.2005 15:55:29.453 reject Block All not Processed IP Packets 200 TCP

incoming packet 212.144.71.45 212.144.131.186 1097 445 TTL: 119; TOS: 0; ID:

5108; TCP flags: PSH ACK ; TCP Seq: D72D82F3
09.01.2005 15:55:58.984 reject Block All not Processed IP Packets 48 TCP

incoming packet 65.242.34.4 212.144.131.186 11927 6129 TTL: 112; TOS: 0; ID:

6CAD; TCP flags: SYN ; TCP Seq: BEF4CD77
09.01.2005 15:56:07.500 reject Block All not Processed IP Packets 1500 TCP

incoming packet 212.144.83.126 212.144.131.186 3975 135 TTL: 119; TOS: 0; ID:

77D6; TCP flags: ACK ; TCP Seq: B33BEF65
09.01.2005 15:57:15.828 reject Block All not Processed IP Packets 48 TCP

incoming packet 145.254.248.121 212.144.131.186 3359 139 TTL: 126; TOS: 0; ID:

1B6D; TCP flags: SYN ; TCP Seq: 8E836700
09.01.2005 15:57:18.843 reject Block All not Processed IP Packets 48 TCP

incoming packet 145.254.248.121 212.144.131.186 3359 139 TTL: 126; TOS: 0; ID:

D06D; TCP flags: SYN ; TCP Seq: 8E836700
09.01.2005 15:57:26.703 reject Block All not Processed IP Packets 200 TCP

incoming packet 212.144.71.45 212.144.131.186 1097 445 TTL: 119; TOS: 0; ID:

5B48; TCP flags: PSH ACK ; TCP Seq: D72D82F3
09.01.2005 15:58:33.515 ask exit network C:\WINDOWS\system32\netstat.exe PID: 500
09.01.2005 15:58:38.312 ask exit network C:\WINDOWS\system32\netstat.exe PID: 500
09.01.2005 15:58:47.406 ask exit network C:\WINDOWS\system32\netstat.exe PID: 500
09.01.2005 15:58:57.406 Policy "Optimal Protection" loaded
09.01.2005 15:59:27.234 reject Block All not Processed IP Packets 200 TCP

incoming packet 212.144.71.45 212.144.131.186 1097 445 TTL: 119; TOS: 0; ID:

0C89; TCP flags: PSH ACK ; TCP Seq: D72D82F3
09.01.2005 16:00:30.984 Policy "Optimal Protection" loaded

Die Sachen, die jetzt bei mir entfernt wurden, sind das Spyware oder ein Virus und wie

heisst der dann?

Gruesse
Schülerg

#33 Hallo@schülergerd

Was entfernt wurde war eine Spyware (Hijacker)
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - (no file)-->[MakeMeSearch.com hijacker]
,der den Browser "gehackt" hat und alle Aktivitaeten deinerseits im Net auf eine vordefinierte Seite weitergeleitet hat. [SearchURL = *http://216.65.3.72/search.php*]
Auf dieser Seite liegen nun abgespeichert alles, was du in der Zwischenzeit im Net so angestellt hast, also auch Adressen, Passworte , usw.


Falls du revelante private Daten hast, solltest du die passworte aendern.

Das naechste Mal diskutierst du nicht lange herum, sondern reinigst schleunigst das System nach unseren Anweisungen
__________
MfG Sabina

rund um die PC-Sicherheit

#34 Hallo Sabina,

a) bedeutet dass, dass xp ist nun (aus der Ferne beurteilt) komplett sauber?
b) das jetico-log ist ok und Abbild einer gängigen Interneteinwahl?
c) IP 239.255.... wird bei Internetverbindung grundsätzlich angewählt?

Habe vor 2 Tagen noch ein viertes Beispiel (win98se, modem, völlig anderes Netz) gefunden: hab dort Firefox installiert, netstat-n, gestartet und es kam 194.109.192.6. Wollte dann das hijackthis starten und die Meldung "MSVBVM60.dll fehlt " kam. Bei mir hat hijack aber wie bekannt funktioniert. gibts hierfür eine einfache Standardantwort?
d) Kann es sein, dass die meisten diese Spyware besitzen? Wer sammelt all diese Daten und was macht der damit?
Kann man gegen diesen Jemand Anzeige erstatten?

würd mich freuen wenn diese Fregan auch noch beantworten könntest.
Gruesse
schülergerd

#35 Hallo@schülergerd

a) das Log ist definitiv sauber
b) + c) zu : IP 239.255....--> ich bin kein Spezialist in Netzwerken, kann daher keine Antwort geben.
Es gibt Foren (wahrscheinlich auch hier), wo man diese Fragen beantwortet bekommt)
http://www.informationsarchiv.net/foren/forum-34.html

#Zum Problem:"MSVBVM60.dll fehlt "
http://www.markuswelz.de/software/download_de.html

# Ein Hijacker sammelt die Daten, die auf der Site anlaufen. Dann kann man sehr viel mit diesen Daten anfangen, z.B. Spammen, Mails an Spammer verkaufen und im schlimmsten Fall, selbst versuchen, mit den Daten in z.B. Onlinebanking ein bisschen was abzustauben

Ob man diese Leute anzeigen kann ? Da bin ich ueberfragt...wie willst du wissen, wer das ist und in welcher Ecke der Welt er sich befindet ????
__________
MfG Sabina

rund um die PC-Sicherheit

#36 So Sabina,

für Deine kompetenten Antworten und Hilfe (ist ja Wahnsinn) ein grosses Dankeschön.

Gruesse
Schülergerd