Browser sendet Signale->SearchURL = http://216.65.3.72/search.php

#1 Hallo,

folgende Frage hatte ich in einem Firefox-Forum gestellt, aber leider konnte mir niemand eineAntwort geben:
"....ich hatte mir den Firefox 1.0 und gleich darauf die Erweiterung "UserAgentSwitcher" heruntergeladen (über das Lesezeichen).
Wenn ich dann über die MSdosEigabeaufforderung ein "netstat -a 1" im Hintergrund habe laufen lassen, mich mit dem Internet verbunden habe und dann den Fox gestartet habe, öffnete sich (ohne eine Seite anzuwählen) sofort ein Port. Am anderen Ende lauschte (established) je nach Provider jeweils eine der folg. IP:
195.219.49.201,
145.253.66.17,
209.170.79.215,
193.108.89.70,
194.97.51.214,
209.247.88.180,
81.52.250.104
Bei dem IE und sonst ist mir das noch nie passiert. Habe mir wieder eine alte Fox-Version draufgemacht.
Hat noch jemand dieselbe Erfahrung gemacht? Beim Starten sendete er (1.0) auch ein Signal aus. Woran könnte das liegen? Oder ist das nur bei mir so?
"
Noch Hinweise: vor dem Herunterladen war mein System (Win98, keinenFirewall) mit hoher Wahrscheinlichkeit virenfrei. Während dem Herunterl. waren nur die Ports belegt, die sollten. Während dem Herunterladen von dem UserA-Switscher (verschlüsselte Seite) hing plötzlich eine der obigen IP dran; wenig später gab es einen Abbruch der Verbindung (ist auch einem Kumpel von mir passiert). Dann einen zweiten Versuch und die Verbindung zum Modem wurde gekappt. Beim dritten Mal hat alles geklappt. Nur sendet diese Fox-Version jetzt beim Start irgendwelche Signale, nimmt wahrscheinlich Kontakt auf.
Das ist doch sicherlich nicht vom Hersteller gewollt!? Andererseits, wenn es denn ein Angriff war, sind die möglichen Verursacher klar eingeschränkt.
Wo könnte die Ursache liegen? Tatsache ist, meine alte Fox-Version (u. IE) zeigt dieses Verhalten nicht.

Gruesse
SchülerGerd

#2 Hallo@schülergerd

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip

Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

erstmal danke für Deine Antwort. Das zip-file habe ich mir heruntergeladen.
Vor Mittwoch werde ich aber bestimmt kein log in's Forum setzen, da ich mich erst über das tool informieren muss.
Vielleicht könntest Du mir vorab folgende Fragen beantworten.
-das Programm benötigt Visual Basic 6 runtime libraries. Habe ich die standardmässig auf Win98se?
-den Fox 1.0 habe ich schon deinstalliert (habe aber noch die install-Datei); lohnt sich da überhaupt noch die Anwendung dieses Tools?
-hast Du auch schon mal mit 1.0 den UserAgentSwitcher über den Firefox ("Erweiterungen") heruntergeladen und dieselben Probleme gehabt?
-hatte mir 1.0+Switcher nacheinander heruntergeladen, dann die Seite google.de, dort news, zum Testen angeschaut und gleich das Öffnen dieser Ports bemerkt.
(java/-script aus, cookies aus, Startseite: blank, softwaredownload aus).
Welche Vermutung hast Du, wann und wie kam diese spyware(?) zur Ausführung? Die Signale werden bei Start des Browsers gesendet, ohne eine Seite aufzurufen.

Gruesse
SchülerG

#4 Was du erzählst wirkt auf mich alles sehr konfus und unverständlich. Installier dir mal ein Tool wie Ethereal und zeichne so einen Verbindungsversuch auf, dann kann dir vielleicht jemand mehr dazu sagen.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#5 Hallo@schülergerd

Dann informier dich mal ueber das Tool HijackThis und wenn du dann zur Ueberzeugung gekommen bist, dass ich dir KEIN schlimmes Tool (hier im Sicherheitsforum) unterschieben wollte, dann kopierst du vielleicht den Text ab und postest ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Hallo,

@sabina: hier ist das hijacklog. Hoffe nun es reicht jezt auch zur Problemlösung.
@asdrubael: ich denke ich habe es ziemlich eindeutig geschildert: Bin ins Internet, habe sofort ein Programm runtergeladen, dann sofort darauf eine Erweiterung, dann das Programm ausprobiert und Seite geladen und gemerkt es sendet Signale welche Vorgängerversion nicht gesendet hat. Ist netstat nicht sowas wie etheral?

Hijacklog:
Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 17:55:12, on 15.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2713.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\TEMP\HACKTHIS\HIJACKTHIS199BETA.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://216.65.3.72/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://216.65.3.72/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://216.65.3.72/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://216.65.3.72/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://216.65.3.72/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [cFosInst_Check] C:\WINDOWS\OEMCFOS2\CFOSINST.EXE -install -loud
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O13 - DefaultPrefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Grüsse
Schüler

#7 Hallo@

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://216.65.3.72/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://216.65.3.72/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://216.65.3.72/search.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://216.65.3.72/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://216.65.3.72/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - (no file)
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - (no file)-->[MakeMeSearch.com hijacker]
O13 - DefaultPrefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Button "Fix checked" -->> PC neustarten

suche und loesche:
C:\WINDOWS\SYSTEM\MTC.dll

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

#Search&Destroy
http://www.safer-networking.org/de/download/index.html

#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten, bzw
die Dateien im abgesicherten Modus loeschen

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Hallöle Sabina,

für die schnelle Antwort bedanke ich mich. Die MTC.dll (wie auch die MTC.ini) hatte ich schon seit geraumer Zeit gelöscht. Damit war das Ding ja wohl unschädlich. Sabina, Bezeichnet man diese MTC als Spyware? Die hatte ich mir beim Einloggen zu Lycos eingefangen. Den IE benutzte ich weil die mail-Seite mit dem Fox nicht richtig angezeigt wurde. Seit eineinhalb Jahren benutze ich den IE nahezu überhaut nicht (da ich eigentlich nur Anwender bin und sein will). Würdest Du meinen Rechner (bisher) als infiziert betrachten?
Ist meine ursprüngliche Frage nun beantwortet? Ich sehe (als Laie) noch nicht den Bezug zum Firefox 1.0.
Deine Tipps zum Runterladen (escan,...) bedeuten ja viel Arbeit für mich, und viele Unbekannte. Ist das eine nötge Strategie, die unbedingt nötig ist? Möglicherweise hat adstrubäl recht und man sollte so ein Protokoll aufzeichnen. Dazu müsste ich aber wieder dieselbe 1.0 Version installieren. Lohnt der Aufwand überhaupt, ist das Problem interessant genug (wenn man das was ich geschildert habe als wahr annimmt). Deshalb habe ich ursprünglich nur die MEINUNG dritter einholen wollen. So frei aus dem Bauch heraus, nur als vage Meinung, wo würdest Du spontan, unter den von mir gegebenen Voraussetzungen, die Ursache meines Problemes sehen? Welche Erklärung hättest Du parat?

Freue mich auf deine Antwort
Schüler

#9 Hallo@schülergerd

Dein PC ist, was man in Fachkreisen als VERSEUCHT (infiziert) bezeichnet.
[MakeMeSearch.com hijacker]

ich wuerde an deiner Stelle alle Punkte abarbeiten und alles saeubern.
__________
MfG Sabina

rund um die PC-Sicherheit

#10 hallo sabina,

könntest Du das genauer erläutern.
Ist diese Verseuchung auch der Grund, warum mein Browser diese Signale sendet?

Gruesse
Schüler

#11 genau...voellig verseucht dein PC und du solltest ALLES abarbeiten, was ich geschrieben habe...wenn ich mir die Muehe gemacht habe, alles zusammenzusuchen um dir zu helfen, solltest du die Arbeit ebenfalls nicht scheuen
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Du verstehst nicht was ich meine.
Die Verseuchung interessiert überhaupt nicht, nur wenn sie die Ursache meines geschilderten Problemes ist.
Warum sendet denn mein alter firefox keine solche signale?
Übrigens, mit dieser Verseuchung kann ich leben. Ich merke ja gar nichts davon.
Bisher hast Du mir keine einzige meiner Fragen beantwortet. Deine Aneisungen sind klar. Aber ich begreife sie nicht. Könntest Du sie deshalb erörtern?
Gruesse
Schüler

#13 also alles, was du im Net anklickst, jede Seite, alles, was du schreibst, wird von dem Startseitentrojaner auf diese Seite abgespeichert
SearchURL = *http://216.65.3.72/search.php*
und vom Besitzer der Seite je nach Gutduenken verwendet.

ich bin mir sicher, dass das auch beim IE geschieht, nicht nur beim Firefox, denn
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - (no file)-->[MakeMeSearch.com hijacker]
O13 - DefaultPrefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?

http://www.pchell.com/support/prolivation.shtml

Angenommen, wir rufen routinemässig eine bekannte Site auf. Zu unserer Überraschung erscheint aber eine uns völlig unbekannte URL kurzzeitig auf dem Schirm, anschliessend erscheint die aufgerufene Webseite.

Was ist geschehen ?
So genannte Hijacker (Entführer) haben unsere Registry dahin gehend manipuliert, dass unser Internet-Explorer zwingend zuerst eine bestimmte Webseite aufrufen muss, welche den Computer, sowie unsere nachfolgenden Internetaktivitäten ausspioniert und nach Hause meldet.

Wenn der Internet-Explorer vom User den Auftrag bekommt eine bestimmte Webadresse aufzurufen, dann schaut er zuerst in der Registry nach, ob der eingegebene Prefix (z.B. http://) auch verwendet werden darf, bzw. ob dieser Prefix registriert ist.

Diese "Bewilligung" steht in der Registry unter: Hkey_local_machine\Software\Microsoft\Windows\CurrentVersion\URL\Default Prefix.

Klicken Sie auf Start - Ausführen, geben dort regedit ein und quitieren mit Enter. Nun öffnen Sie den oben beschriebenen Ast.
Wenn das System nicht infiziert ist, wird im Unterverzeichnis DefaultPrefix der Eintrag "http://" stehen.
"Internet-Saboteure" kennen einen Trick, wie man - über das Internet - diese Prefixes so verändern kann, das Windows zuerst eine völlig fremde URL aufrufen muss, welche sofort damit beginnt unser System auszuspionieren. Dies kann sehr schnell vor sich gehen, anschliessend erscheint die von uns gewünschte Site auf dem Schirm.
Wie man die betreffenden Verzeichnisse erreicht, wurde oben bereits erwähnt. Wenn in einem Verzeichnis hinter dem "http://" eine Adresse steht, (z.B. "http://prolivation.com), dann handelt es sich klar um einen Hijackerangriff.

du hast diese Malware auf dem PC , die staendig ins Net komuniziert, sobald du Online bist.
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabina,

vielen Dank zunächst für Deine ernsthafte Antwort.
Die Ausgangsvoraussetzung war, dass Kontakt aufgenommen wurde, bevor ich eine Seite angeklickt habe.
Unabhängig davon, sehe ich das vielleicht ungefähr so wie Du. Auf jeden Fall werde ich mir Deine Argumente zu Herzen nehmen und dahingehend recherchieren. Die Einträge allerdings, stammen noch aus meinen Zeiten, während denen ich AOL benutzte. Und Einträge in der Registry sind ja, wenn sie nicht auf Programme (bspw. wenn sie fehlen) zugreifen können, harmlos. Der Startseitentrojaner 216.65.3.72, wenn es denn einer ist, wurde von mir schon seit langer Zeit definitiv unschädlich gemacht. Die Registry ist in diesem Sinne nicht interessant. Der IE existiert mittlerweile bei mir nur noch virtuell. Und sowas wie etheral habe ich hardwaremässig. Darum denke ich, sind die Rahmenkonditionen festgelegt. Sollte also Dein dritter Fall nicht zutreffen, und bedenkt man die Zeit, die mir andersweitig noch bleibt, wäre doch die Frage interessant, was unabhängig von deiner geschilderten Möglichkeit sonst noch für Möglichkeiten übrig blieben.
Darum meine Erwiderung:
1) was prolivation angeht hat Du recht; die hatten sich zwischengeschaltet.
2) trifft alles nicht zu beim firefox
3) wenn es auch so wäre, warum dann bei 1.0 und nicht bei den anderen Versionen?

Lassen wir also Deine Möglichkeit mal weg. Wie würde Deine Meinung dann aussehen? Natürlich ist meine Frage jetzt sicherlich akademisch. Aber da ich auch eine Meinung vertreten darf, kann ich Dich ja fragen ob Du unter diesen Voraussetzungen auch noch eine Meinung parat hättest.

Gruss
SchülerGerd

#15 ähm ich verstehe nicht worauf du hinaus willst oO, das is ein hilfe thread udn kein diskussionsthread woher mögliche "signal" beim firefox 1.0 kommen .... sabina hat sich mühe gegeben deine ganzen bösen registry einträge zu fidnen und ne lösung zu posten ... vielleicht solltest du mal daran denken das zu tun was sie dir vorgeschlagen hat...
und wie gesagt ein support thread und kein diskussionsthread ...
__________
MFG
Eddy