Windows Explorer --> 69.20.33.96

#0
14.10.2003, 22:29
Member

Beiträge: 46
#1 Moin allen hier,

ich habe mir heute Grookster installiert, wofür ich mich jetzt in den Allerwertesten beißen kann. Der installiert einen Haufen SpyWare etc.
Auf alle Fälle habe ich nach der automatischen und manuellen Deinstallation (Registry-Keys) keine Rückstände mehr gefunden. Trotzdem versucht der Windows-Explorer, auf die IP 69.20.33.96, Port 80 zuzugreifen, sobald ich mit einem Browser surfen will. Egal, ob Opera, IE, Mozilla oder Netscape. Wenn diese Antwort nicht kommt, ich also per Portfilter dichtmache beendet sich die explorer.exe und damit auch die Taskleiste. Wenn ich die Anfrage ignoriere beendet sich die explorer.exe auch, allerdings nach einem gewissen Timeout.
AdAware habe ich mehrmals laufen lassen, Der Virenscanner hat auch nichts gefunden.

Hat jemand ein ähnliches Problem oder besser eine Lösung?

So far...
Matthias
__________
Hier könnte Ihre Signatur stehen ;)
Seitenanfang Seitenende
14.10.2003, 22:38
Moderator
Avatar joschi

Beiträge: 6466
#2 Kannst es noch mit Spybot versuchen, findet manches, was mit adaware nicht zum Vorschein tritt.
http://security.kolla.de/
Laut Liste auf obiger Seite erkennt Spyboot die Look2Mee-Komponenten.
Sind dort als Malware klassifiziert, nicht als Spyware.
Mach nach der Installation ein Update über das Programminterface !
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
15.10.2003, 00:07
Member

Themenstarter

Beiträge: 46
#3 N'Abend Joschi,

erstmal danke für den Tip mit Spybot. Habe es auch laufen lassen, was der nicht noch alles gefunden hat ;)
Außerdem habe ich die Registry nach der IP durchsucht, ohne Erfolg. Bei Look2Me hat er einen Schlüssel gefunden, den ich gelöscht habe.
Das Problem hat sich jetzt teilweise erledigt. Er greift zwar immer noch auf die IP zu, allerdings beendet sich die explorer.exe nicht mehr, wenn ich die Verbindung verweigere. Solange ich das per Paketfilter blocken kann soll er von mir aus senden ;) So mache ich es mit dem GainTrickler schon seit Wochen.

So far...
Matthias
__________
Hier könnte Ihre Signatur stehen ;)
Seitenanfang Seitenende
15.10.2003, 03:36
...neu hier
Avatar Cp6o

Beiträge: 8
#4 hatte ähnliches Problem habe mir WebWasher installiert. unter www.webwasher.com kann man es umsonst runterladen. Seit dem habe ich keine Probleme mehr. Vielleicht hilft es dir ebenfalls.
__________
Mit dem Internet bist du nie allein, ob du es willst oder nicht.
Seitenanfang Seitenende
15.10.2003, 09:41
Moderator
Avatar joschi

Beiträge: 6466
#5 Was hat Spyboot hinsichtlich look2me gefunden ? Müsste ja unter "Wiederherstellen" zu finden sein. Würde mich interessieren...

Autostart mal überprüft, wegen diesem weiterhin versuchten Verbindungsaufbau ? Evtl lässt sich das über das Program "Regmon" herausfinden, sofern Du der Sache nachgehen willst.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
15.10.2003, 11:31
Member

Themenstarter

Beiträge: 46
#6 Hi Cp6o,

WebWasher läuft bei mir auch, allerdings auf meinem Router. Da ich mit einem Nicht-IE surfe und der IE diese Verbindung aufbauen will vermute ich, daß die Installation auf dem Client nichts bringen wird, werde es aber trotzdem mal probieren.

@joschi: Kommando zurück, heute hat sich die explorer.exe wieder beendet.
SpyBot hat bzgl. look2me soweit ich das gesehen habe nichts gefunden. "Lediglich"
- Alexa
- BDHelper 2mal
- mehrere DSO Exploit
- Gator
- Hacker.ag
- TurboDownload
- WebHancer
- Windows Media Player (kein Scherz!)

Ist zwar 'ne ganz lange Liste, allerdings sehe ich dort nichts, was mit look2me zu tun haben könnte, oder?
Und wie gesagt, das Problem ist ja immer noch da ;)
Soweit erstmal allen Danke für die Hilfe.

So far...
Matthias
__________
Hier könnte Ihre Signatur stehen ;)
Seitenanfang Seitenende
15.10.2003, 11:41
Member

Themenstarter

Beiträge: 46
#7 Ich habe mir die Pakete gerade mal angeschaut und poste mal den Code, der dabei herausgekommen ist:

Code


GET /cgi-bin/Look2Me HTTP/1.0
Host: www.look2me.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Referer:
Connection: close

HTTP/1.1 200 OK
Date: Wed, 15 Oct 2003 09:37:49 GMT
Server: Apache/1.3.27 (Unix)  (Red-Hat/Linux) FrontPage/5.0.2.2623 mod_ssl/2.8.12 OpenSSL/0.9.6b DAV/1.0.3 PHP/4.1.2 mod_perl/1.26
Connection: close
Content-Type: text/html

KEY:eï#éë³?bÿì    S¤?üúˆ'5EK΄\õ^rÒÞ«\õ^rÒÞ«\õ^rÒÞ«\õ^rÒÞ«

Allerdings sieht der KEY anders aus, diese Zeichen entstehen bei mir bei der Speicherung der Pakete. Allerdings ist es augenscheinlich trotzdem ziemlicher Müll, also nicht wirklich hilfreich

So far...
Matthias
__________
Hier könnte Ihre Signatur stehen ;)
Seitenanfang Seitenende
16.10.2003, 00:34
Member

Themenstarter

Beiträge: 46
#8 Erstmal danke an alle, die Tips gegeben haben. Ich habe mit Hilfe eines Bekannten die Lösung gefunden. Es war eine gut 300kb große dll (msg{F223562C-D008-40A9-9E60-888A6CF92D55}0111.dll), die die explorer.exe geladen hat. NAch Umbenennen klappt auch das Surfen wieder!

So far...
Matthias
__________
Hier könnte Ihre Signatur stehen ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: