Statt Internetseite nur "Zone Labs: VSMON - Lockup Server" - Seite |
||
---|---|---|
#0
| ||
12.07.2006, 21:22
Ehrenmitglied
Beiträge: 29434 |
||
|
||
13.07.2006, 10:47
...neu hier
Beiträge: 7 |
||
|
||
13.07.2006, 13:26
Ehrenmitglied
Beiträge: 29434 |
#18
1.
ueberpruefe, welche Dateien fuer die Umleitung verantwortlich sind: http://virus-protect.org/artikel/tools/icesword.html 2. poste das log (ich loesche dann relevate Dten wieder aus) http://virus-protect.org/registry_stuff.html 3. TCPView 2.34 http://www.sysinternals.com/ntw2k/source/tcpview.shtml as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.07.2006, 14:34
...neu hier
Beiträge: 7 |
#19
So, das wäre auch erledigt - allerdings konnte der Icesword nicht alle Reports
exportieren - da habe ich dan ein paar Screenshots gemaht. Den TcpView hatte ich in der Vergangenheit schon mal angeworfen - der zeigt aber die "sauberen" Adressen, d.h. nicht die umgeleiteten - die konnte ich nur per Ethereal sehen. Mittlerweile weiß ich ja echt nicht mehr, wo ich noch suchen soll - zum Glück habe ich mit True-Image ein Backup gezogen - also im Notfall bleibt mir nichts anderes übrig, als mein lappi zu überbügeln Ich hab jetzt übrigens noch eine Beobachtung gemacht: in Zeiten hohen Stresses (viele Page-Reloads) geht der Internet Explorer (der Firefox nicht) auch auf die Adressen 80.67.84.15 80.67.84.17 ?????wcg.net www.anything.com 9a.f6.ead8.static.theplanet.com jeweils auf Port 80 - ist allerdings ein Glücksspiel die mal angezeigt zu bekommen. Anhang: three steps together.zip Dieser Beitrag wurde am 13.07.2006 um 14:54 Uhr von crettig editiert.
|
|
|
||
13.07.2006, 16:56
Ehrenmitglied
Beiträge: 29434 |
#20
poste folgendes log:
RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html ----------------------------------------------------------------- Zitat Port£º __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.07.2006, 19:56
...neu hier
Beiträge: 7 |
#21
Hallo Sabina,
ich habe jetzt ein sehr interessantes Verhalten: ich habe mich mit dem Cisco VPN Client remote eingeloggt (hatte ich schon länger nicht getan) und nach dem Disconnect konnte ich wieder Webseiten ansehen. Ich lasse jetzt auch mal den RootkitRevealer laufen (dauert recht lange), bin aber schon sehr gespannt, was Morgen nach dem Reboot passiert - ob der VPN Client da einen Fehler hat?? Ich verwende den an und für sich schon seit langen (ohne Update) und hatte noch nie Probleme?? Melde mich wieder, sobald ich die Logs habe Chris |
|
|
||
13.07.2006, 20:46
Ehrenmitglied
Beiträge: 29434 |
#22
Zitat mITm postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.07.2006, 11:07
...neu hier
Beiträge: 7 |
#23
Ich glaube mal nicht daß der VPN Client solche Probleme verursacht - den
habe ich schließlich schon ewig auf dem Laptop drauf. Außerdem hatte ich ihn zwichendurch auch schon mal deinstalliert - und das Problem war trotzdem da Außerdem werden mittlerweile Seiten angewählt wie dd3012.kassaserve.com - also ich kann mir nicht vorstellen, daß der VPN Client so was machen würde. Ich lasse jetzt gerade noch mal den RootkitRevealer laufen (hatte vorher den Cleanup vergessen) und werde mein laptop wohl übers Wochenende neu aufsetzen müssen. Vorher probiere ich aber noch als letzten Versuch, dden IE7b3 zu installieren - schätze mal, daß der so viel vom System wieder drüber kopiert, daß der Schädling auch gelöscht werden könnte. Ist zwar irrsinnig schade, daß man sich vor solchen Biestern gechlagen geben muß, aber mittlerweile habe ich deswegen 3 Tage verloren und so lange brauche ich nicht mal fürs neu aufsetzen So, ich hab jetzt übrigens das Log vom RootkitRevealer attacht - schaut aber auch nicht gefählich aus? Und noch eine allerletzte Meldung: auch das Installieren von IE 7 Beta 3 hat nichts gebracht - also jetzt gebe ich es wirklich auf. Wenn du nicht noch etwas weißt, dann muß ihc mich ausnahmsweise mal wirkich geschlagen geben - leider!!! Anhang: RootkitReveal.txt Dieser Beitrag wurde am 14.07.2006 um 12:26 Uhr von crettig editiert.
|
|
|
||
14.07.2006, 12:27
Ehrenmitglied
Beiträge: 29434 |
#24
Zitat dann muß ihc mich ausnahmsweise malich auch.............. http://dd3012.kassaserve.com/ -> Server nicht gefunden ich habe es mal versucht, herauszufinden, aber es existiert nicht:kassaserve.com http://meineipadresse.de/html/domain_dossier.php ansonsten...ich finde nichts , wo man ansetzen koennte... , sorry. C:\Dokumente und Einstellungen\Username.COMPRENDIUM-AT\Recent\spy-kassaserver.JPG.lnk Zitat wget.trojan geht nicht runnter, bitdefender meldet das ich andauernd versuche einen cockie an kassaserver.com zu senden. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.07.2006, 12:50
...neu hier
Beiträge: 7 |
#25
Naja, einen Versuch war es wert, herzlichen Dank aber auf jeden Fall
für die Mühe und die tolle Unterstützung!!! Chris |
|
|
||
__________
MfG Sabina
rund um die PC-Sicherheit