Statt Internetseite nur "Zone Labs: VSMON - Lockup Server" - Seite

#0
12.07.2006, 21:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 du musst die datfindbat dort installieren, wo sich windows befindet, sonst funktioniert es nicht............
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.07.2006, 10:47
...neu hier

Beiträge: 7
#17 Sorry, hier nochmals die Files nach einem Start von C: aus

Anhang: datfind.zip
Seitenanfang Seitenende
13.07.2006, 13:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 1.
ueberpruefe, welche Dateien fuer die Umleitung verantwortlich sind:
http://virus-protect.org/artikel/tools/icesword.html

2.
poste das log (ich loesche dann relevate Dten wieder aus)
http://virus-protect.org/registry_stuff.html

3.
TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.07.2006, 14:34
...neu hier

Beiträge: 7
#19 So, das wäre auch erledigt - allerdings konnte der Icesword nicht alle Reports
exportieren - da habe ich dan ein paar Screenshots gemaht. Den TcpView
hatte ich in der Vergangenheit schon mal angeworfen - der zeigt aber
die "sauberen" Adressen, d.h. nicht die umgeleiteten - die konnte ich nur per Ethereal sehen.

Mittlerweile weiß ich ja echt nicht mehr, wo ich noch suchen soll - zum
Glück habe ich mit True-Image ein Backup gezogen - also im Notfall bleibt
mir nichts anderes übrig, als mein lappi zu überbügeln;)

Ich hab jetzt übrigens noch eine Beobachtung gemacht: in Zeiten hohen Stresses (viele Page-Reloads) geht der Internet Explorer (der Firefox nicht)
auch auf die Adressen

80.67.84.15
80.67.84.17
?????wcg.net
www.anything.com
9a.f6.ead8.static.theplanet.com

jeweils auf Port 80 - ist allerdings ein Glücksspiel die mal angezeigt zu bekommen.

Dieser Beitrag wurde am 13.07.2006 um 14:54 Uhr von crettig editiert.
Seitenanfang Seitenende
13.07.2006, 16:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 poste folgendes log:
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

-----------------------------------------------------------------

Zitat

Port£º
UDP 127.0.0.1 : 62514 * : * 992 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

Started Service:
Service Name:CVPND Display Name:Cisco Systems, Inc. VPN Service

Process£º
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.07.2006, 19:56
...neu hier

Beiträge: 7
#21 Hallo Sabina,

ich habe jetzt ein sehr interessantes Verhalten: ich habe mich mit dem Cisco
VPN Client remote eingeloggt (hatte ich schon länger nicht getan) und
nach dem Disconnect konnte ich wieder Webseiten ansehen.

Ich lasse jetzt auch mal den RootkitRevealer laufen (dauert recht lange),
bin aber schon sehr gespannt, was Morgen nach dem Reboot passiert -
ob der VPN Client da einen Fehler hat?? Ich verwende den an und für sich
schon seit langen (ohne Update) und hatte noch nie Probleme??

Melde mich wieder, sobald ich die Logs habe

Chris
Seitenanfang Seitenende
13.07.2006, 20:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22

Zitat

mITm postete
HUHU!!!

Nee, nix Trojaner, nix Virus, nix gefährlich ;)

Das alles hängt mit dem CISCO VPN CLIENT zusammen! Dieser enthält nämlich einige Firewallfunktionen von Zone Labs, weshalb gerade diese Seite aufgerufen wird... Versuch mal den Cisco VPN - Dienst zu starten... wenn dieser nämlich deaktiviert ist, kommt die genannte Meldung nach einiger Zeit. Einfach auf START, AUSFÜHREN... und "services.msc" eingeben. In der Liste "Cisco Systems, Inc. VPN Service" suchen und doppelt anklicken. Dort unter "Starttyp" dann "Automatisch" wählen und mit "OK" bestätigen. Dann vergewissern, dass dieser Eintrag in der Liste noch ausgewählt ist und links oben auf "starten" bzw. "neu starten".

Hoffe, dass das weiterhilft... Dies gilt primär übrigens nur für WinXP.

Somit sollte auch klar sein, wie ZA auf PCs kommt, auf denen noch nie ZA drauf war ;)

Sollte das nichts nützen, Cisco VPN deinstallieren ;)

Grüße, mITm

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2006, 11:07
...neu hier

Beiträge: 7
#23 Ich glaube mal nicht daß der VPN Client solche Probleme verursacht - den
habe ich schließlich schon ewig auf dem Laptop drauf. Außerdem hatte
ich ihn zwichendurch auch schon mal deinstalliert - und das Problem war
trotzdem da;)

Außerdem werden mittlerweile Seiten angewählt wie dd3012.kassaserve.com -
also ich kann mir nicht vorstellen, daß der VPN Client so was machen würde.

Ich lasse jetzt gerade noch mal den RootkitRevealer laufen (hatte vorher den
Cleanup vergessen) und werde mein laptop wohl übers Wochenende neu aufsetzen müssen.

Vorher probiere ich aber noch als letzten Versuch, dden IE7b3 zu
installieren - schätze mal, daß der so viel vom System wieder drüber kopiert,
daß der Schädling auch gelöscht werden könnte.

Ist zwar irrsinnig schade, daß man sich vor solchen Biestern gechlagen geben muß, aber mittlerweile habe ich deswegen 3 Tage verloren und so lange
brauche ich nicht mal fürs neu aufsetzen;)

So, ich hab jetzt übrigens das Log vom RootkitRevealer attacht - schaut aber
auch nicht gefählich aus?

Und noch eine allerletzte Meldung: auch das Installieren von IE 7 Beta 3
hat nichts gebracht - also jetzt gebe ich es wirklich auf.

Wenn du nicht noch etwas weißt, dann muß ihc mich ausnahmsweise mal
wirkich geschlagen geben - leider!!!

Dieser Beitrag wurde am 14.07.2006 um 12:26 Uhr von crettig editiert.
Seitenanfang Seitenende
14.07.2006, 12:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24

Zitat

dann muß ihc mich ausnahmsweise mal
wirkich geschlagen geben - leider!!!
ich auch.............. ;)

http://dd3012.kassaserve.com/ -> Server nicht gefunden

ich habe es mal versucht, herauszufinden, aber es existiert nicht:kassaserve.com
http://meineipadresse.de/html/domain_dossier.php
ansonsten...ich finde nichts , wo man ansetzen koennte... ;) , sorry.

C:\Dokumente und Einstellungen\Username.COMPRENDIUM-AT\Recent\spy-kassaserver.JPG.lnk

Zitat

wget.trojan geht nicht runnter, bitdefender meldet das ich andauernd versuche einen cockie an kassaserver.com zu senden.

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2006, 12:50
...neu hier

Beiträge: 7
#25 Naja, einen Versuch war es wert, herzlichen Dank aber auf jeden Fall
für die Mühe und die tolle Unterstützung!!!

Chris
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: