Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Kennt jemand ip503c06cb.speed.planet.nl

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.02.2005, 20:07   #1
AL-ADIN
 
Kennt jemand ip503c06cb.speed.planet.nl - Icon16

Kennt jemand ip503c06cb.speed.planet.nl



Hallo,

kennt jemand oben beschriebene (sieht aus wie eine Internetadresse) und was diese macht?

Meine Firewall hat die Datei abgefangen und gesperrt. Sie kommt von der IP 80.60.6.203 und war an einen meiner Computer gerichtet.

In diesem Zusammenhang hat meine Firewall auch das Programm intspyaudit1611_178540063[1].exe nach einer Freigabe verlangt. Ich habe das gesperrt und die Datei gelöscht.

Gruß

AL-ADIN

Alt 25.02.2005, 20:12   #2
Feierfox
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl



Die IP gehört anscheinend zu diesen:
http://www.buttnoise.nl/

Sagt Dir das was?

Ist eine Host-Adresse. Siehe:
http://stuwww.uvt.nl/cgi-bin/awstats...tput=lasthosts

Zitat:
intspyaudit1611_178540063[1].exe nach einer Freigabe
Und Intspyaudit 1497 (anscheinend ein Anti-Spyware-Programm) scheint der Auslöser zu sein.
Kommt anscheinend zustande, wenn man einen Online-Scan hier macht:
http://www.webroot.com/
__________________

__________________

Geändert von Feierfox (25.02.2005 um 20:28 Uhr)

Alt 25.02.2005, 20:30   #3
Gigamail
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl



Zitat:
Sie kommt von der IP 80.60.6.203
name = ip503c06cb.speed.planet.nl.
__________________
__________________

Alt 25.02.2005, 21:31   #4
AL-ADIN
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl



Vielen Dank für die Infos und die schnelle Antwort.

Ich kenne diese Seite nicht.

Das Programm kenne ich auch nicht.

Der VirenScan und escan hat auch nicht gemeckert.

Ich habe da aber noch etwas anderes herausgefunden:

Die Explorer.exe versucht auf die IP 239.255.255.250 zu zugreifen. Warum tut die das?

Alt 25.02.2005, 21:58   #5
Feierfox
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl



Poste doch ein HijackThis-Log.
Direktdownload
Anleitung
Dann kann man sehen, ob alles in Ordnung ist.

__________________
Gruß
Andy

__________________

Alt 25.02.2005, 22:06   #6
Stefano
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl



Schau mal auf diese seite http://www.network-secure.de/index.p...696&Itemid=373

oder gib einfach mal unter google.de die IP: ein!

Alt 25.02.2005, 22:33   #7
AL-ADIN
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl



Nun denn,

mein neuestes Log-File von HijackThis.

Da ist nichts zu erkennen darauf, soweit ich das beurteilen kann. HijackThis hat kein Problem mit den beiden EXE-Dateien.

Alt 25.02.2005, 22:35   #8
AL-ADIN
 
Kennt jemand ip503c06cb.speed.planet.nl - Icon16

Kennt jemand ip503c06cb.speed.planet.nl



Nanu, das Log-File von HijackThis hier im Nachtrag.

Logfile of HijackThis v1.99.0
Scan saved at 23:30:05, on 25.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\APPLI\AVPersonal\AVGUARD.EXE
C:\APPLI\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe
C:\APPLI\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Harald\Eigene Dateien\HijackThis.exe

O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\APPLI\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\APPLI\MICROS~1\OFFICE11\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{79583E2B-08D9-4027-856F-19F05256E0F4}: NameServer = 192.168.0.1
O18 - Filter hijack: text/webviewhtml - (no CLSID) - (no file)
O18 - Filter hijack: text/xml - (no CLSID) - (no file)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\APPLI\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\APPLI\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: IAA Event Monitor - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Alt 25.02.2005, 23:05   #9
Feierfox
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl



Die Einträge unter "018" kannst Du fixen.

Da auch eScan anscheinend nichts findet, solltest Du recht sicher unterwegs sein.

Schau Dir diese Programme vielleicht noch an (falls Du sie nicht schon kennst):
http://dingens.org/

http://www.ntsvcfg.de/ und

http://xpantispy.org/
Schalte unnötige Dienste von Windows ab. Die von Dir genannten IP`s dürften entweder die Deines ISP sein oder des DNS-Servers.
__________________
Gruß
Andy

__________________

Alt 25.02.2005, 23:09   #10
Stefano
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl



Musst du aber nicht sind harmlos! habe nachgesehen!

schaue dir die seiten von Feierfox an und nimm mal einen alternativen Browser (Mozilla, Firefox)

Good Night

_______________________________________________________
Take it easy!!!!!!

Alt 25.02.2005, 23:28   #11
Feierfox
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl



Zitat:
und nimm mal einen alternativen Browser (Mozilla, Firefox)
Jepp! Hier gleich der Link dazu:

http://www.firefox-browser.de/windows.php

Den IE nimm am besten nur noch für Updates! "Pflege ihn" (IE), aber benutze ihn nur in Notfällen!
__________________
Gruß
Andy

__________________

Alt 25.02.2005, 23:59   #12
AL-ADIN
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl



Nun dann erst mal Danke
an Euch für die Hilfe. Wenn ich nicht doch noch etwas hätte....

die Explorer.exe, die in das Internet will. Ich habe die IP mal eingegeben und habe eine verwandte Seite (sie sieht jedenfalls genau so aus) des StartPage-Trojaners bekommen. Unter 239.255.255.250 bekomme ich dieses im ie angezeigt --> siehe Bild
das ist denke ich nicht gut.

Außerdem kommt es vor, daß sich bei mir unter den Eigenen Dateien ein Ordner mit dem Namen "backups" einnistet und sich immer wieder mit Einträgen füllt. Ich habe den Ordner schon oft gelöscht, aber er erscheint immer wieder. Genau so verhält es sich mit überresten von StartPage.
Der wird auch jeden Tag gefunden, obwohl ich alle Temp-Ordner im abgesicherten Modus bereinigt habe und die Registry mit Registry Cleaner und Optimizer bearbeitet habe.

Hier dazu mein Antivir-Log Auszug der betreffenden StartPage-Trojaner, wenn er jeden Tag auftaucht. Er läßt sich löschen und verursacht sonst nichts mehr (keine Einträge im HiJackThis)

C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\APPLI\AVPersonal\INFECTED
KLAKJH.DLL.VIR
[FUND!] Ist das Trojanische Pferd TR/Startpage.215
WURDE GELÖSCHT!
M[1].BIN.VIR
[FUND!] Ist das Trojanische Pferd TR/Startpage.215
WURDE GELÖSCHT!

Vielleicht sollte ich das nächste mal schreiben, was noch funktioniert.... und nicht immer mit einem neuen Problem kommen,:-)

Gruß
AL-ADIN
Miniaturansicht angehängter Grafiken
Kennt jemand ip503c06cb.speed.planet.nl-ip239.jpg  

Alt 26.02.2005, 01:09   #13
Feierfox
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl



Das ist so ein Problem, wenn man die Symptome per HijackThis beseitigt hat und die Ursachen eventuell noch nicht.
Dann update mal Dein eScan, lass es offline im abgesicherten Modus laufen und poste hier:
1. die Zusammenfassung am Ende und
2. alles was "infected" und "tagged" enthält.

Lösche auch mal den INFECTED-Ordner bzw. Quarantäne-Ordner des AV-Programms.
Lade Die ClearProg runter und lass "alles löschen" (Button).
http://www.clearprog.de/index.php
Und deaktiviere den Nachrichtendienst per XP-Antispy oder unter Dienste.

Lass auch mal CWShredder drüberlaufen.
http://www.intermute.com/spysubtract..._download.html
Alles mit deaktivierter Systemwiederherstellung (Wiederherstellungspunkte gehen dadurch verloren!), offline und im abgesicherten Modus.
http://www.bsi.bund.de/av/texte/wiederher_xp.htm
Dort kannst Du eventuell auch gleich versuchen den Ordner "backups" loszuwerden.
__________________
Gruß
Andy

__________________

Geändert von Feierfox (26.02.2005 um 02:09 Uhr)

Alt 26.02.2005, 01:54   #14
Feierfox
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl



Schau Dir auch mal diesen Thread an:

http://www.trojaner-board.de/showthread.php?t=11807

Vielleicht bringt ja das letzte Posting was....
__________________
Gruß
Andy

__________________

Alt 26.02.2005, 18:31   #15
AL-ADIN
 
Kennt jemand ip503c06cb.speed.planet.nl - Icon16

Kennt jemand ip503c06cb.speed.planet.nl



So, da bin ich wieder,

habe die Anweisungen befolgt und mit Cleanprog und CWShredder im abgesicherten Modus gesäubert.

Der Post von Trojan-Hunter http://www.trojaner-board.de/showthread.php?t=11807 bestätigt meine Vermutung, das wir bisher nur an den Symptomen gearbeitet haben, aber nicht an der Ursache.

Im angegebenen KEY unter SearchAssisant\Unistall ist bei mir nichts eingetragen, wie von Trojan-Hunter angegeben. Es wa ein Changed ID und ein Spybot-Eintrag vorhanden. Diese habe ich jetzt gelöscht.

Schon vor Tagen habe ich mit RegistryClean ein Programm namens UnInstall von der Registry gelöscht, weil ich es nicht kannte.

Bis jetzt hat sich heute kein StartPage mehr gemeldet. :aplaus:

Der backups-Ordner ist nun auch geklärt. Ich Tödel habe HijackThis in meine Eignen Dateien abgelegt, dadurch ist auch da backups-Verzeichnis dort entstanden. Falscher Alarm. Wie peinlich.

Ob das schon alles war, bleibt noch abzuwarten.


hier trotzdem meine letzten Ergebnisse vom 24.02.05 mit escan

Ich habe nach Infected gesucht - hier die Ergebnisse:

früherer SCAN:
Wed Feb 16 00:27:23 2005 => Scanning File C:\APPLI\AVPersonal\INFECTED\M[1].BIN.VIR

Thu Feb 24 19:58:03 2005 => Scanning Folder: C:\APPLI\AVPersonal\INFECTED\*.*

Thu Feb 24 21:22:11 2005 => ***** Scanning complete. *****

Thu Feb 24 21:22:11 2005 => Total Files Scanned: 77286
Thu Feb 24 21:22:11 2005 => Total Virus(es) Found: 0
Thu Feb 24 21:22:11 2005 => Total Disinfected Files: 0
Thu Feb 24 21:22:11 2005 => Total Files Renamed: 0
Thu Feb 24 21:22:12 2005 => Total Deleted Files: 0
Thu Feb 24 21:22:12 2005 => Total Errors: 12
Thu Feb 24 21:22:12 2005 => Time Elapsed: 01:27:02
Thu Feb 24 21:22:12 2005 => Virus Database Date: 2005/02/24
Thu Feb 24 21:22:12 2005 => Virus Database Count: 119346

(UN??-)Glücklicherweise kein Virus gefunden.

Was ist jetzt noch zu tun? Ich glaube abwarten. Ich melde mich, ob es geklappt hat oder nicht und würde mich freuen, wenn jemand noch eine Idee zu meiner Explorer.exe (siehe Doc - wenn man die Seite aufruft)

Was bedeuten die Einträge in den HKEY_USERS (sieh Doc)?. Ich habe den Eindruck die vermehren sich auch. Es gibt nur einen USER und der bin ich auf diesem Rechner.


Bis dahin

Gruß

AL-ADIN
Miniaturansicht angehängter Grafiken
Kennt jemand ip503c06cb.speed.planet.nl-registry_dll.jpg   Kennt jemand ip503c06cb.speed.planet.nl-ip239.jpg  

Geändert von AL-ADIN (26.02.2005 um 18:46 Uhr)

Antwort

Themen zu Kennt jemand ip503c06cb.speed.planet.nl
.exe, adresse, compu, computer, datei, firewall, freigabe, gen, inter, interne, internetadresse, programm, zusammenhang



Ähnliche Themen: Kennt jemand ip503c06cb.speed.planet.nl


  1. Kennt jemand azfucib.exe?
    Plagegeister aller Art und deren Bekämpfung - 17.04.2014 (7)
  2. Kennt jemand uzozs.exe ?
    Plagegeister aller Art und deren Bekämpfung - 27.11.2012 (3)
  3. kennt jemand den trojan.gen.2
    Plagegeister aller Art und deren Bekämpfung - 27.02.2011 (26)
  4. TR/Shed.A ???Kennt den jemand?
    Log-Analyse und Auswertung - 23.07.2008 (15)
  5. Kennt jemand den Trojaner: TR/Spy.MSN.C?
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)
  6. Was ist das? Kennt sich jemand aus?
    Plagegeister aller Art und deren Bekämpfung - 31.03.2007 (14)
  7. kennt jemand YPS.exe
    Plagegeister aller Art und deren Bekämpfung - 05.02.2007 (2)
  8. Kennt jemand diese IP 212.43.221.215
    Log-Analyse und Auswertung - 14.09.2006 (1)
  9. Kennt jemand....
    Plagegeister aller Art und deren Bekämpfung - 09.07.2005 (1)
  10. Kennt jemand iMaillight?
    Überwachung, Datenschutz und Spam - 19.05.2005 (6)
  11. Kennt jemand pupxpman.exe
    Plagegeister aller Art und deren Bekämpfung - 19.01.2005 (2)
  12. kennt jemand yyezhz.exe ?
    Log-Analyse und Auswertung - 28.10.2004 (11)
  13. Kennt jemand XOFTSPY?
    Plagegeister aller Art und deren Bekämpfung - 17.10.2004 (6)
  14. Kennt jemand 'bigbr.cc' ?
    Plagegeister aller Art und deren Bekämpfung - 05.10.2004 (3)
  15. Kennt jemand die Kerio PFW 4.0.3 ?
    Antiviren-, Firewall- und andere Schutzprogramme - 18.09.2003 (3)
  16. Evc.family - kennt den jemand?
    Plagegeister aller Art und deren Bekämpfung - 16.05.2003 (10)

Zum Thema Kennt jemand ip503c06cb.speed.planet.nl - Hallo, kennt jemand oben beschriebene (sieht aus wie eine Internetadresse) und was diese macht? Meine Firewall hat die Datei abgefangen und gesperrt. Sie kommt von der IP 80.60.6.203 und war - Kennt jemand ip503c06cb.speed.planet.nl...
Archiv
Du betrachtest: Kennt jemand ip503c06cb.speed.planet.nl auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.