Hallo,

kennt jemand oben beschriebene (sieht aus wie eine Internetadresse) und was diese macht?

Meine Firewall hat die Datei abgefangen und gesperrt. Sie kommt von der IP 80.60.6.203 und war an einen meiner Computer gerichtet.

In diesem Zusammenhang hat meine Firewall auch das Programm intspyaudit1611_178540063[1].exe nach einer Freigabe verlangt. Ich habe das gesperrt und die Datei gelöscht.

Gruß

AL-ADIN

Die IP gehört anscheinend zu diesen:
http://www.buttnoise.nl/

Sagt Dir das was?

Ist eine Host-Adresse. Siehe:
http://stuwww.uvt.nl/cgi-bin/awstats...tput=lasthosts

Zitat:

intspyaudit1611_178540063[1].exe nach einer Freigabe

Und Intspyaudit 1497 (anscheinend ein Anti-Spyware-Programm) scheint der Auslöser zu sein.
Kommt anscheinend zustande, wenn man einen Online-Scan hier macht:
http://www.webroot.com/

Zitat:

Sie kommt von der IP 80.60.6.203

name = ip503c06cb.speed.planet.nl.

Vielen Dank für die Infos und die schnelle Antwort.

Ich kenne diese Seite nicht.

Das Programm kenne ich auch nicht.

Der VirenScan und escan hat auch nicht gemeckert.

Ich habe da aber noch etwas anderes herausgefunden:

Die Explorer.exe versucht auf die IP 239.255.255.250 zu zugreifen. Warum tut die das?

Poste doch ein HijackThis-Log.
Direktdownload
Anleitung
Dann kann man sehen, ob alles in Ordnung ist.

Schau mal auf diese seite http://www.network-secure.de/index.p...696&Itemid=373

oder gib einfach mal unter google.de die IP: ein!

So, da bin ich wieder,

habe die Anweisungen befolgt und mit Cleanprog und CWShredder im abgesicherten Modus gesäubert.

Der Post von Trojan-Hunter http://www.trojaner-board.de/showthread.php?t=11807 bestätigt meine Vermutung, das wir bisher nur an den Symptomen gearbeitet haben, aber nicht an der Ursache.

Im angegebenen KEY unter SearchAssisant\Unistall ist bei mir nichts eingetragen, wie von Trojan-Hunter angegeben. Es wa ein Changed ID und ein Spybot-Eintrag vorhanden. Diese habe ich jetzt gelöscht.

Schon vor Tagen habe ich mit RegistryClean ein Programm namens UnInstall von der Registry gelöscht, weil ich es nicht kannte.

Bis jetzt hat sich heute kein StartPage mehr gemeldet. :aplaus:

Der backups-Ordner ist nun auch geklärt. Ich Tödel habe HijackThis in meine Eignen Dateien abgelegt, dadurch ist auch da backups-Verzeichnis dort entstanden. Falscher Alarm. Wie peinlich.

Ob das schon alles war, bleibt noch abzuwarten.


hier trotzdem meine letzten Ergebnisse vom 24.02.05 mit escan

Ich habe nach Infected gesucht - hier die Ergebnisse:

früherer SCAN:
Wed Feb 16 00:27:23 2005 => Scanning File C:\APPLI\AVPersonal\INFECTED\M[1].BIN.VIR

Thu Feb 24 19:58:03 2005 => Scanning Folder: C:\APPLI\AVPersonal\INFECTED\*.*

Thu Feb 24 21:22:11 2005 => ***** Scanning complete. *****

Thu Feb 24 21:22:11 2005 => Total Files Scanned: 77286
Thu Feb 24 21:22:11 2005 => Total Virus(es) Found: 0
Thu Feb 24 21:22:11 2005 => Total Disinfected Files: 0
Thu Feb 24 21:22:11 2005 => Total Files Renamed: 0
Thu Feb 24 21:22:12 2005 => Total Deleted Files: 0
Thu Feb 24 21:22:12 2005 => Total Errors: 12
Thu Feb 24 21:22:12 2005 => Time Elapsed: 01:27:02
Thu Feb 24 21:22:12 2005 => Virus Database Date: 2005/02/24
Thu Feb 24 21:22:12 2005 => Virus Database Count: 119346

(UN??-)Glücklicherweise kein Virus gefunden.

Was ist jetzt noch zu tun? Ich glaube abwarten. Ich melde mich, ob es geklappt hat oder nicht und würde mich freuen, wenn jemand noch eine Idee zu meiner Explorer.exe (siehe Doc - wenn man die Seite aufruft)

Was bedeuten die Einträge in den HKEY_USERS (sieh Doc)?. Ich habe den Eindruck die vermehren sich auch. Es gibt nur einen USER und der bin ich auf diesem Rechner.


Bis dahin

Gruß

AL-ADIN

Zitat:

Zitat von AL-ADIN

wenn man die Seite aufruft

Ich hoffe, dass Du Deinen Rechner durch die Aufruferei der Seite nicht wieder neu infizierst....

Zitat:

Was bedeuten die Einträge in den HKEY_USERS (sieh Doc)?. Ich habe den Eindruck die vermehren sich auch. Es gibt nur einen USER und der bin ich auf diesem Rechner.

Tun sie, aber nur wenn Du neue Programme installierst, da sehe ich keine Gefahr.

Also, die IP ist anscheinend der DNS, also von Hause aus ungefährlich.
(sie gehört zu: IANA )

Blockiere doch mal den Zugriff der Explorer.exe per Firewall und warte ab, ob Du noch surfen kannst.

Steige um auf z.B. Firefox, konfiguriere ihn sicher und Du hast Ruhe. Falls Du nicht, durch das Surfen auf unsicheren Seiten, alles zunichte machst.

Lösche regelmäßig (am besten nach jedem Surfgang) mit ClearProg z.B. alle relevanten Daten (Temp, Cache, Papierkorb.....). Lösche auch den Java-Cache regelmäßig.

Update regelmäßig Dein System, den IE und Deine AV-Software. Mache regelmäßige Scans mit den entsprechenden Programmen.

Ach ja, installiere MBSA mal und checke, ob Dein System aus MS-Sicht sicher ist:
MBSA
(ist zwar ein Microsoft-Produkt, aber ausnahmsweise mal zu empfehlen)

Danke für die weitere Hilfe Feierfox.

Ich habe die Explorer.exe geblockt. Es funktioniert auch alles.
Wie kommt man zu so einem DNS? Was wollen die von mir? Na ja.

Ich habe MBSA ausgeführt. Ich brauche noch zwei Office-Updates, das war alles was er von mir wollte.

Es gibt da jetzt auch noch eine Beta-Version Microsoft Anti-Spyware. Die habe ich mir auch noch besorgt.

ES WIRD NICHTS GEFUNDEN, ABER DER STARTPAGE IST IMMER NOCH DA!!!

Alle Programme melden alles ok. Das glaube ich auch soweit, da ich Kernteile des Startpage zerstört habe. Es muss jedoch noch irgendwo eine Einstellung sein, so dass Startpage überlebt. (Systemherstellung immer ist auch noch deaktiviert).

Wie kann man so eine Trojaner-Datei überleben lassen? Wer das rausfindet, der ist mindestens 1000 andere Leute ein Held.

Gruß

AL-ADIN
Harald

DNS "übersetzt" Domain-Namen in IP-Adressen, denn eigentlich sind im Internet ja nur diese die "richtigen" Adressen. Zur Vereinfachung wurden Domain-Namen (z.B. www.trojaner-board.de hat die Adresse 83.133.48.136) eingeführt, welche aber in IP`s "übersetzt" werden müssen. Gib doch mal folgende IP in das Adressfeld ein 66.102.11.99....ohne Zusätze. Siehe:
DNS

Zitat:

ABER DER STARTPAGE IST IMMER NOCH DA!!!

Vielleicht ganz einfach...Du gehst in die Internetoptionen und vergibst eine neue Startpage!

Ach, poste doch ein neues HijackThis-Log, zwecks letztem Check.