![]() |
|
Plagegeister aller Art und deren Bekämpfung: Kennt jemand ip503c06cb.speed.planet.nlWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() Kennt jemand ip503c06cb.speed.planet.nl Hallo, kennt jemand oben beschriebene (sieht aus wie eine Internetadresse) und was diese macht? Meine Firewall hat die Datei abgefangen und gesperrt. Sie kommt von der IP 80.60.6.203 und war an einen meiner Computer gerichtet. In diesem Zusammenhang hat meine Firewall auch das Programm intspyaudit1611_178540063[1].exe nach einer Freigabe verlangt. Ich habe das gesperrt und die Datei gelöscht. Gruß AL-ADIN |
![]() | #2 | |
![]() ![]() ![]() ![]() | ![]() Kennt jemand ip503c06cb.speed.planet.nl Die IP gehört anscheinend zu diesen:
__________________http://www.buttnoise.nl/ Sagt Dir das was? Ist eine Host-Adresse. Siehe: http://stuwww.uvt.nl/cgi-bin/awstats...tput=lasthosts Zitat:
Kommt anscheinend zustande, wenn man einen Online-Scan hier macht: http://www.webroot.com/
__________________ Geändert von Feierfox (25.02.2005 um 21:28 Uhr) |
![]() | #3 | |
![]() ![]() ![]() | ![]() Kennt jemand ip503c06cb.speed.planet.nlZitat:
__________________ |
![]() | #4 |
![]() | ![]() Kennt jemand ip503c06cb.speed.planet.nl Vielen Dank für die Infos und die schnelle Antwort. Ich kenne diese Seite nicht. Das Programm kenne ich auch nicht. Der VirenScan und escan hat auch nicht gemeckert. Ich habe da aber noch etwas anderes herausgefunden: Die Explorer.exe versucht auf die IP 239.255.255.250 zu zugreifen. Warum tut die das? |
![]() | #5 |
![]() ![]() ![]() ![]() | ![]() Kennt jemand ip503c06cb.speed.planet.nl Poste doch ein HijackThis-Log. Direktdownload Anleitung Dann kann man sehen, ob alles in Ordnung ist.
__________________ Gruß Andy __________________ |
![]() | #6 |
![]() ![]() | ![]() Kennt jemand ip503c06cb.speed.planet.nl Schau mal auf diese seite http://www.network-secure.de/index.p...696&Itemid=373 oder gib einfach mal unter google.de die IP: ein! ![]() |
![]() | #7 |
![]() | ![]() Kennt jemand ip503c06cb.speed.planet.nl So, da bin ich wieder, habe die Anweisungen befolgt und mit Cleanprog und CWShredder im abgesicherten Modus gesäubert. Der Post von Trojan-Hunter http://www.trojaner-board.de/showthread.php?t=11807 bestätigt meine Vermutung, das wir bisher nur an den Symptomen gearbeitet haben, aber nicht an der Ursache. Im angegebenen KEY unter SearchAssisant\Unistall ist bei mir nichts eingetragen, wie von Trojan-Hunter angegeben. Es wa ein Changed ID und ein Spybot-Eintrag vorhanden. Diese habe ich jetzt gelöscht. Schon vor Tagen habe ich mit RegistryClean ein Programm namens UnInstall von der Registry gelöscht, weil ich es nicht kannte. Bis jetzt hat sich heute kein StartPage mehr gemeldet. ![]() Der backups-Ordner ist nun auch geklärt. Ich Tödel habe HijackThis in meine Eignen Dateien abgelegt, dadurch ist auch da backups-Verzeichnis dort entstanden. Falscher Alarm. Wie peinlich. ![]() Ob das schon alles war, bleibt noch abzuwarten. hier trotzdem meine letzten Ergebnisse vom 24.02.05 mit escan Ich habe nach Infected gesucht - hier die Ergebnisse: früherer SCAN: Wed Feb 16 00:27:23 2005 => Scanning File C:\APPLI\AVPersonal\INFECTED\M[1].BIN.VIR Thu Feb 24 19:58:03 2005 => Scanning Folder: C:\APPLI\AVPersonal\INFECTED\*.* Thu Feb 24 21:22:11 2005 => ***** Scanning complete. ***** Thu Feb 24 21:22:11 2005 => Total Files Scanned: 77286 Thu Feb 24 21:22:11 2005 => Total Virus(es) Found: 0 Thu Feb 24 21:22:11 2005 => Total Disinfected Files: 0 Thu Feb 24 21:22:11 2005 => Total Files Renamed: 0 Thu Feb 24 21:22:12 2005 => Total Deleted Files: 0 Thu Feb 24 21:22:12 2005 => Total Errors: 12 Thu Feb 24 21:22:12 2005 => Time Elapsed: 01:27:02 Thu Feb 24 21:22:12 2005 => Virus Database Date: 2005/02/24 Thu Feb 24 21:22:12 2005 => Virus Database Count: 119346 (UN??-)Glücklicherweise kein Virus gefunden. Was ist jetzt noch zu tun? Ich glaube abwarten. Ich melde mich, ob es geklappt hat oder nicht und würde mich freuen, wenn jemand noch eine Idee zu meiner Explorer.exe (siehe Doc - wenn man die Seite aufruft) Was bedeuten die Einträge in den HKEY_USERS (sieh Doc)?. Ich habe den Eindruck die vermehren sich auch. Es gibt nur einen USER und der bin ich auf diesem Rechner. Bis dahin Gruß AL-ADIN ![]() Geändert von AL-ADIN (26.02.2005 um 19:46 Uhr) |
![]() | #8 | ||
![]() ![]() ![]() ![]() | ![]() Kennt jemand ip503c06cb.speed.planet.nlZitat:
Zitat:
__________________ Gruß Andy __________________ |
![]() | #9 |
![]() ![]() ![]() ![]() | ![]() Kennt jemand ip503c06cb.speed.planet.nl Also, die IP ist anscheinend der DNS, also von Hause aus ungefährlich. (sie gehört zu: IANA ) Blockiere doch mal den Zugriff der Explorer.exe per Firewall und warte ab, ob Du noch surfen kannst. Steige um auf z.B. Firefox, konfiguriere ihn sicher und Du hast Ruhe. Falls Du nicht, durch das Surfen auf unsicheren Seiten, alles zunichte machst. Lösche regelmäßig (am besten nach jedem Surfgang) mit ClearProg z.B. alle relevanten Daten (Temp, Cache, Papierkorb.....). Lösche auch den Java-Cache regelmäßig. Update regelmäßig Dein System, den IE und Deine AV-Software. Mache regelmäßige Scans mit den entsprechenden Programmen. Ach ja, installiere MBSA mal und checke, ob Dein System aus MS-Sicht sicher ist: MBSA (ist zwar ein Microsoft-Produkt, aber ausnahmsweise mal zu empfehlen)
__________________ Gruß Andy __________________ Geändert von Feierfox (26.02.2005 um 21:19 Uhr) |
![]() | #10 |
![]() | ![]() Kennt jemand ip503c06cb.speed.planet.nl Danke für die weitere Hilfe Feierfox. Ich habe die Explorer.exe geblockt. Es funktioniert auch alles. Wie kommt man zu so einem DNS? Was wollen die von mir? Na ja. Ich habe MBSA ausgeführt. Ich brauche noch zwei Office-Updates, das war alles was er von mir wollte. Es gibt da jetzt auch noch eine Beta-Version Microsoft Anti-Spyware. Die habe ich mir auch noch besorgt. ES WIRD NICHTS GEFUNDEN, ABER DER STARTPAGE IST IMMER NOCH DA!!! Alle Programme melden alles ok. Das glaube ich auch soweit, da ich Kernteile des Startpage zerstört habe. Es muss jedoch noch irgendwo eine Einstellung sein, so dass Startpage überlebt. (Systemherstellung immer ist auch noch deaktiviert). ![]() ![]() Wie kann man so eine Trojaner-Datei überleben lassen? Wer das rausfindet, der ist mindestens 1000 andere Leute ein Held. Gruß AL-ADIN Harald |
![]() | #11 | |
![]() ![]() ![]() ![]() | ![]() Kennt jemand ip503c06cb.speed.planet.nl DNS "übersetzt" Domain-Namen in IP-Adressen, denn eigentlich sind im Internet ja nur diese die "richtigen" Adressen. Zur Vereinfachung wurden Domain-Namen (z.B. www.trojaner-board.de hat die Adresse 83.133.48.136) eingeführt, welche aber in IP`s "übersetzt" werden müssen. Gib doch mal folgende IP in das Adressfeld ein 66.102.11.99....ohne Zusätze. Siehe: DNS Zitat:
Ach, poste doch ein neues HijackThis-Log, zwecks letztem Check.
__________________ Gruß Andy __________________ Geändert von Feierfox (27.02.2005 um 01:22 Uhr) |
![]() |
Themen zu Kennt jemand ip503c06cb.speed.planet.nl |
.exe, adresse, compu, computer, datei, firewall, freigabe, gen, inter, interne, internetadresse, programm, zusammenhang |