Hallo,

kennt jemand oben beschriebene (sieht aus wie eine Internetadresse) und was diese macht?

Meine Firewall hat die Datei abgefangen und gesperrt. Sie kommt von der IP 80.60.6.203 und war an einen meiner Computer gerichtet.

In diesem Zusammenhang hat meine Firewall auch das Programm intspyaudit1611_178540063[1].exe nach einer Freigabe verlangt. Ich habe das gesperrt und die Datei gelöscht.

Gruß

AL-ADIN

Die IP gehört anscheinend zu diesen:
http://www.buttnoise.nl/

Sagt Dir das was?

Ist eine Host-Adresse. Siehe:
http://stuwww.uvt.nl/cgi-bin/awstats...tput=lasthosts

Zitat:

intspyaudit1611_178540063[1].exe nach einer Freigabe

Und Intspyaudit 1497 (anscheinend ein Anti-Spyware-Programm) scheint der Auslöser zu sein.
Kommt anscheinend zustande, wenn man einen Online-Scan hier macht:
http://www.webroot.com/

Zitat:

Sie kommt von der IP 80.60.6.203

name = ip503c06cb.speed.planet.nl.

Vielen Dank für die Infos und die schnelle Antwort.

Ich kenne diese Seite nicht.

Das Programm kenne ich auch nicht.

Der VirenScan und escan hat auch nicht gemeckert.

Ich habe da aber noch etwas anderes herausgefunden:

Die Explorer.exe versucht auf die IP 239.255.255.250 zu zugreifen. Warum tut die das?

Poste doch ein HijackThis-Log.
Direktdownload
Anleitung
Dann kann man sehen, ob alles in Ordnung ist.

Schau mal auf diese seite http://www.network-secure.de/index.p...696&Itemid=373

oder gib einfach mal unter google.de die IP: ein!

Nun denn,

mein neuestes Log-File von HijackThis.

Da ist nichts zu erkennen darauf, soweit ich das beurteilen kann. HijackThis hat kein Problem mit den beiden EXE-Dateien.

Nanu, das Log-File von HijackThis hier im Nachtrag.

Logfile of HijackThis v1.99.0
Scan saved at 23:30:05, on 25.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\APPLI\AVPersonal\AVGUARD.EXE
C:\APPLI\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe
C:\APPLI\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Harald\Eigene Dateien\HijackThis.exe

O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\APPLI\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\APPLI\MICROS~1\OFFICE11\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{79583E2B-08D9-4027-856F-19F05256E0F4}: NameServer = 192.168.0.1
O18 - Filter hijack: text/webviewhtml - (no CLSID) - (no file)
O18 - Filter hijack: text/xml - (no CLSID) - (no file)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\APPLI\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\APPLI\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: IAA Event Monitor - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Die Einträge unter "018" kannst Du fixen.

Da auch eScan anscheinend nichts findet, solltest Du recht sicher unterwegs sein.

Schau Dir diese Programme vielleicht noch an (falls Du sie nicht schon kennst):
http://dingens.org/

http://www.ntsvcfg.de/ und

http://xpantispy.org/
Schalte unnötige Dienste von Windows ab. Die von Dir genannten IP`s dürften entweder die Deines ISP sein oder des DNS-Servers.

Musst du aber nicht sind harmlos! habe nachgesehen!

schaue dir die seiten von Feierfox an und nimm mal einen alternativen Browser (Mozilla, Firefox)

Good Night

_______________________________________________________
Take it easy!!!!!!

Zitat:

und nimm mal einen alternativen Browser (Mozilla, Firefox)

Jepp! Hier gleich der Link dazu:

http://www.firefox-browser.de/windows.php

Den IE nimm am besten nur noch für Updates! "Pflege ihn" (IE), aber benutze ihn nur in Notfällen!

Nun dann erst mal Danke
an Euch für die Hilfe. Wenn ich nicht doch noch etwas hätte....

die Explorer.exe, die in das Internet will. Ich habe die IP mal eingegeben und habe eine verwandte Seite (sie sieht jedenfalls genau so aus) des StartPage-Trojaners bekommen. Unter 239.255.255.250 bekomme ich dieses im ie angezeigt --> siehe Bild
das ist denke ich nicht gut.

Außerdem kommt es vor, daß sich bei mir unter den Eigenen Dateien ein Ordner mit dem Namen "backups" einnistet und sich immer wieder mit Einträgen füllt. Ich habe den Ordner schon oft gelöscht, aber er erscheint immer wieder. Genau so verhält es sich mit überresten von StartPage.
Der wird auch jeden Tag gefunden, obwohl ich alle Temp-Ordner im abgesicherten Modus bereinigt habe und die Registry mit Registry Cleaner und Optimizer bearbeitet habe.

Hier dazu mein Antivir-Log Auszug der betreffenden StartPage-Trojaner, wenn er jeden Tag auftaucht. Er läßt sich löschen und verursacht sonst nichts mehr (keine Einträge im HiJackThis)

C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\APPLI\AVPersonal\INFECTED
KLAKJH.DLL.VIR
[FUND!] Ist das Trojanische Pferd TR/Startpage.215
WURDE GELÖSCHT!
M[1].BIN.VIR
[FUND!] Ist das Trojanische Pferd TR/Startpage.215
WURDE GELÖSCHT!

Vielleicht sollte ich das nächste mal schreiben, was noch funktioniert.... und nicht immer mit einem neuen Problem kommen,:-)

Gruß
AL-ADIN

Das ist so ein Problem, wenn man die Symptome per HijackThis beseitigt hat und die Ursachen eventuell noch nicht.
Dann update mal Dein eScan, lass es offline im abgesicherten Modus laufen und poste hier:
1. die Zusammenfassung am Ende und
2. alles was "infected" und "tagged" enthält.

Lösche auch mal den INFECTED-Ordner bzw. Quarantäne-Ordner des AV-Programms.
Lade Die ClearProg runter und lass "alles löschen" (Button).
http://www.clearprog.de/index.php
Und deaktiviere den Nachrichtendienst per XP-Antispy oder unter Dienste.

Lass auch mal CWShredder drüberlaufen.
http://www.intermute.com/spysubtract..._download.html
Alles mit deaktivierter Systemwiederherstellung (Wiederherstellungspunkte gehen dadurch verloren!), offline und im abgesicherten Modus.
http://www.bsi.bund.de/av/texte/wiederher_xp.htm
Dort kannst Du eventuell auch gleich versuchen den Ordner "backups" loszuwerden.

Schau Dir auch mal diesen Thread an:

http://www.trojaner-board.de/showthread.php?t=11807

Vielleicht bringt ja das letzte Posting was....

So, da bin ich wieder,

habe die Anweisungen befolgt und mit Cleanprog und CWShredder im abgesicherten Modus gesäubert.

Der Post von Trojan-Hunter http://www.trojaner-board.de/showthread.php?t=11807 bestätigt meine Vermutung, das wir bisher nur an den Symptomen gearbeitet haben, aber nicht an der Ursache.

Im angegebenen KEY unter SearchAssisant\Unistall ist bei mir nichts eingetragen, wie von Trojan-Hunter angegeben. Es wa ein Changed ID und ein Spybot-Eintrag vorhanden. Diese habe ich jetzt gelöscht.

Schon vor Tagen habe ich mit RegistryClean ein Programm namens UnInstall von der Registry gelöscht, weil ich es nicht kannte.

Bis jetzt hat sich heute kein StartPage mehr gemeldet. :aplaus:

Der backups-Ordner ist nun auch geklärt. Ich Tödel habe HijackThis in meine Eignen Dateien abgelegt, dadurch ist auch da backups-Verzeichnis dort entstanden. Falscher Alarm. Wie peinlich.

Ob das schon alles war, bleibt noch abzuwarten.


hier trotzdem meine letzten Ergebnisse vom 24.02.05 mit escan

Ich habe nach Infected gesucht - hier die Ergebnisse:

früherer SCAN:
Wed Feb 16 00:27:23 2005 => Scanning File C:\APPLI\AVPersonal\INFECTED\M[1].BIN.VIR

Thu Feb 24 19:58:03 2005 => Scanning Folder: C:\APPLI\AVPersonal\INFECTED\*.*

Thu Feb 24 21:22:11 2005 => ***** Scanning complete. *****

Thu Feb 24 21:22:11 2005 => Total Files Scanned: 77286
Thu Feb 24 21:22:11 2005 => Total Virus(es) Found: 0
Thu Feb 24 21:22:11 2005 => Total Disinfected Files: 0
Thu Feb 24 21:22:11 2005 => Total Files Renamed: 0
Thu Feb 24 21:22:12 2005 => Total Deleted Files: 0
Thu Feb 24 21:22:12 2005 => Total Errors: 12
Thu Feb 24 21:22:12 2005 => Time Elapsed: 01:27:02
Thu Feb 24 21:22:12 2005 => Virus Database Date: 2005/02/24
Thu Feb 24 21:22:12 2005 => Virus Database Count: 119346

(UN??-)Glücklicherweise kein Virus gefunden.

Was ist jetzt noch zu tun? Ich glaube abwarten. Ich melde mich, ob es geklappt hat oder nicht und würde mich freuen, wenn jemand noch eine Idee zu meiner Explorer.exe (siehe Doc - wenn man die Seite aufruft)

Was bedeuten die Einträge in den HKEY_USERS (sieh Doc)?. Ich habe den Eindruck die vermehren sich auch. Es gibt nur einen USER und der bin ich auf diesem Rechner.


Bis dahin

Gruß

AL-ADIN