Adware oder Trojaner ?? |
||
---|---|---|
#0
| ||
05.05.2002, 18:20
...neu hier
Beiträge: 5 |
||
|
||
05.05.2002, 19:57
zu Gast
|
#2
Tja,
dafür bräuchte ich aber ein paar mehr Informationen: Wohin genau verbindet sich der Internet Explorer; welche Add Ins hast du installiert, welche Programme laufen bei dir im Hintergrund > Prossesviewer? ttl James |
|
|
||
05.05.2002, 20:31
...neu hier
Themenstarter Beiträge: 5 |
#3
Hi
J a m e s , also, der IE versucht sich zu verbinden zu 146.110.3.6, was bei mir aufgelöst wird zu ds20e.bke.hu. Die Ports auf der Remote-Seite liegen so zwischen 1000 und 5000, auf meiner Seite eher zwischen 3000 und 5000, so ich das denn eingrenzen kann. AddIns habe ich meines Erachtens keine wissentlich installiert. Zumindest bin ich mir nicht sicher, was Du mit AddIns meinen könntest. Sicherlich zählt das Macromedia-Flash-Plugin nicht dazu, und andere Dinge habe ich eigentlich nicht zugelassen. Prozessliste kannst du unter http://www.aenimate.net/Download/prozessliste.jpg mal einsehen... - A n a s a z i |
|
|
||
06.05.2002, 00:41
zu Gast
|
#4
Es koennte auch am Esel liegen. Der ist Spyware. Cydoor. Einen Clone (spy free) gibt es auf meiner Site. www.axu.de/teamprog.
Mit Plugins meint er keine Flash und dergleichen. Er meint welche ActivX Du hast installieren lassen. Wie versucht sich der Ie zu connecten???? Biste auf bestimmten Seiten usw. Haste schon einen Virenscanner laufen lassen, oder einen Trojanerscanner. Oeffnest Du Anhaenge von Emails. besonders in der letzten Zeit (KLEZ-Wurm ist unterwegs). Ich habe mir die .hu mal genauer angesehen. Es koennte schon sein, das Du eventuell den KLEZ-Wurm hast (falls ja schmeiss das Outlook in die Tonne). Der KLEZ hat ja seine eigenen SMTP-Addys. Mir ist z.b eine in Brasilien bekannt. Es koennte also durchaus sein, das die Dicht gemacht haben oder irgendwelchen anderen Probs haben. Die .hu haben auch eine WEBMAIL, genau wie die in Brasilien. Du kannst aber auch mal eine Email an folgende Addy schicken: web-admin@bke.hu und die mal fragen. |
|
|
||
06.05.2002, 21:28
...neu hier
Themenstarter Beiträge: 5 |
#5
*danke* ... erst einmal
Ich denke nicht, dass es am Esel liegt, da ich dort die ausgewiesene nicht-Cydoor-Version runtergeladen hab, und weder AdAware was finden kann und ich auch die entsprechenden .dlls nicht auf dem Rechner finden kann. Also vielleicht kein Cydoor. Virenscanner hab ich auch schon drüberlaufen lassen, komplett - der hat natürlich ebenfalls nix gefunden. Und Viren oder ähnliches über eMail: Ich benutze gar kein Outlook. Lade die eMails nicht einmal herunter, sondern schaue erst auf dem Server nach, ob ich damit was anfangen kann, bevor ich mir eine eMail ziehe... Zu den ActiveX-Komponenten: Normalerweise lasse ich mich bei allem möglichen, das sich installieren will fragen, und dann stimme ich eigentlich in den allerseltensten Fällen zu. Also, nur wenn ich unbedingt dort hin möchte, und es ohne dies nicht geht... Dementsprechend frage ich mich, wo sich sonst noch was verstecken könnte. Und wie ich das ausfindig machen könnte. Bin da ehrlich gesagt ziemlich ratlos. Vielleicht ist das ja auch völlig harmlos, immerhin wird es geblockt. Dennoch misfällt mir der Gedanke, das irgendwas, das ich nicht bestimmen kann dauernd wo hin telefonieren will. Was sicherlich verständlich ist. - A n a s a z i Dieser Beitrag wurde am 06.05.2002 um 21:29 Uhr von Anasazi editiert.
|
|
|
||
08.10.2004, 16:14
...neu hier
Beiträge: 4 |
#6
Hallo!
Bin offensichtlich gehijackt worden. Spybot, CWShredder und Adaware schaffen`s nicht. Hatte auch R1,R0,R0,R1 sowie viermal die O13 gefixed, hat aber auch nicht geholfen...Vielleicht könnt Ihr Euch ja mal folgenden Log ansehen und mir weiterhelfen?! Vielen Dank im voraus! Grüße Jürgen Logfile of HijackThis v1.97.7 Scan saved at 16:06:49, on 08.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\ACCSTAT.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\TBRIDGE\FLATBED.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATI2CWAD.EXE C:\WINDOWS\SYSTEM\ATIPTKAD.EXE C:\PROGRAMME\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\WINDOWS\TWAIN_32\600CU\WATCH.EXE C:\PROGRAMME\KLICKTEL\KLICKTEL JANUAR 2004\KSTART32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\TEMP\AMIK.DAT C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\T-Online\BSW3\ONLINE.EXE C:\T-ONLINE\BSW3\TODUCALC.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=18&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=18&q=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online F1 - win.ini: load=C:\TBridge\Flatbed.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [AtiCwd32] Ati2cwad.exe O4 - HKLM\..\Run: [AtiKey] atiptkad.exe O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] c:\windows\SYSTEM\mstask.exe O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\600CU\WATCH.exe O4 - Startup: klickTel Januar 2004 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE O9 - Extra button: Real.com (HKLM) O9 - Extra button: Preispiraten 2.02 (HKLM) O9 - Extra button: Corel Network monitor worker (HKLM) O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM) O9 - Extra button: Corel Network monitor worker (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU) O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin5.dll O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=18&q= O13 - WWW Prefix: http://www.heretofind.com/show.php?id=18&q= O13 - Home Prefix: http://www.heretofind.com/show.php?id=18&q= O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=18&q= O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=18&q= O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38077.2283217593 O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/d/4/4/d446e8a9-3a86-4b59-bb19-f5bd11b40367/wmavax.CAB |
|
|
||
- A n a s a z i