Adware oder Trojaner ??

#1 Laut meinem Firewall-Logfile (Kerio Firewall v2.14) versucht der IE seit geraumer Zeit immer wieder eine TCP Verbindung nach Ungarn zu erstellen, und im speziellen zu einer Adresse im Adressraum der Budapest University of Economic Sciences - was immer das auch heissen soll, zumindest ist die Adresse laut RIPE dort registriert. Ich frage mich vielmehr, was im InternetExporer diesen dazu veranlasst in regelmäßigen Abständen zu versuchen dorthin zu connecten, und wie ich das dauerhaft unterbinden kann. Habe bereits AdAware unzählige Male drüberlaufen lassen, und den Rechner ebenfalls schon mit AntiTrojan gescannt, jedoch ohne Erfolg. Vielleicht hat jemand sonst noch eine Idee, wie ich die Einstellung finde, die dies verursacht !?

- A n a s a z i

#2 Tja,

dafür bräuchte ich aber ein paar mehr Informationen:
Wohin genau verbindet sich der Internet Explorer; welche Add Ins hast du installiert, welche Programme laufen bei dir im Hintergrund > Prossesviewer?

ttl James

#3 Hi
J a m e s ,

also, der IE versucht sich zu verbinden zu 146.110.3.6, was bei mir aufgelöst wird zu ds20e.bke.hu. Die Ports auf der Remote-Seite liegen so zwischen 1000 und 5000, auf meiner Seite eher zwischen 3000 und 5000, so ich das denn eingrenzen kann.
AddIns habe ich meines Erachtens keine wissentlich installiert. Zumindest bin ich mir nicht sicher, was Du mit AddIns meinen könntest. Sicherlich zählt das Macromedia-Flash-Plugin nicht dazu, und andere Dinge habe ich eigentlich nicht zugelassen.
Prozessliste kannst du unter http://www.aenimate.net/Download/prozessliste.jpg
mal einsehen...

- A n a s a z i

#4 Es koennte auch am Esel liegen. Der ist Spyware. Cydoor. Einen Clone (spy free) gibt es auf meiner Site. www.axu.de/teamprog.

Mit Plugins meint er keine Flash und dergleichen. Er meint welche ActivX Du hast installieren lassen. Wie versucht sich der Ie zu connecten????
Biste auf bestimmten Seiten usw. Haste schon einen Virenscanner laufen lassen, oder einen Trojanerscanner. Oeffnest Du Anhaenge von Emails. besonders in der letzten Zeit (KLEZ-Wurm ist unterwegs).

Ich habe mir die .hu mal genauer angesehen. Es koennte schon sein, das Du eventuell den KLEZ-Wurm hast (falls ja schmeiss das Outlook in die Tonne).
Der KLEZ hat ja seine eigenen SMTP-Addys. Mir ist z.b eine in Brasilien bekannt. Es koennte also durchaus sein, das die Dicht gemacht haben oder irgendwelchen anderen Probs haben. Die .hu haben auch eine WEBMAIL, genau wie die in Brasilien. Du kannst aber auch mal eine Email an folgende Addy schicken: web-admin@bke.hu und die mal fragen.

#5 *danke* ... erst einmal

Ich denke nicht, dass es am Esel liegt, da ich dort die ausgewiesene nicht-Cydoor-Version runtergeladen hab, und weder AdAware was finden kann und ich auch die entsprechenden .dlls nicht auf dem Rechner finden kann.
Also vielleicht kein Cydoor.
Virenscanner hab ich auch schon drüberlaufen lassen, komplett - der hat natürlich ebenfalls nix gefunden. Und Viren oder ähnliches über eMail: Ich benutze gar kein Outlook. Lade die eMails nicht einmal herunter, sondern schaue erst auf dem Server nach, ob ich damit was anfangen kann, bevor ich mir eine eMail ziehe...
Zu den ActiveX-Komponenten: Normalerweise lasse ich mich bei allem möglichen, das sich installieren will fragen, und dann stimme ich eigentlich in den allerseltensten Fällen zu. Also, nur wenn ich unbedingt dort hin möchte, und es ohne dies nicht geht...
Dementsprechend frage ich mich, wo sich sonst noch was verstecken könnte. Und wie ich das ausfindig machen könnte. Bin da ehrlich gesagt ziemlich ratlos. Vielleicht ist das ja auch völlig harmlos, immerhin wird es geblockt. Dennoch misfällt mir der Gedanke, das irgendwas, das ich nicht bestimmen kann dauernd wo hin telefonieren will. Was sicherlich verständlich ist.

- A n a s a z i

#6 Hallo!

Bin offensichtlich gehijackt worden. Spybot, CWShredder und Adaware schaffen`s nicht. Hatte auch R1,R0,R0,R1 sowie viermal die O13 gefixed, hat aber auch nicht geholfen...Vielleicht könnt Ihr Euch ja mal folgenden Log ansehen und mir weiterhelfen?! Vielen Dank im voraus!

Grüße Jürgen

Logfile of HijackThis v1.97.7
Scan saved at 16:06:49, on 08.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\ACCSTAT.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\TBRIDGE\FLATBED.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATI2CWAD.EXE
C:\WINDOWS\SYSTEM\ATIPTKAD.EXE
C:\PROGRAMME\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\TWAIN_32\600CU\WATCH.EXE
C:\PROGRAMME\KLICKTEL\KLICKTEL JANUAR 2004\KSTART32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\AMIK.DAT
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\T-Online\BSW3\ONLINE.EXE
C:\T-ONLINE\BSW3\TODUCALC.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=18&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=18&q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
F1 - win.ini: load=C:\TBridge\Flatbed.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiCwd32] Ati2cwad.exe
O4 - HKLM\..\Run: [AtiKey] atiptkad.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] c:\windows\SYSTEM\mstask.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\600CU\WATCH.exe
O4 - Startup: klickTel Januar 2004 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Preispiraten 2.02 (HKLM)
O9 - Extra button: Corel Network monitor worker (HKLM)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM)
O9 - Extra button: Corel Network monitor worker (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU)
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin5.dll
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=18&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=18&q=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38077.2283217593
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/d/4/4/d446e8a9-3a86-4b59-bb19-f5bd11b40367/wmavax.CAB