Ich bin neu hier, aber ich tippe auf Win32:Adan-094.

Aber ohne Logfile will ich mich da nicht festlegen.

Zitat:

Zitat von Achtung: Greenhorn

Ich bin neu hier, aber ich tippe auf Win32:Adan-094.

Aber ohne Logfile will ich mich da nicht festlegen.

Wie kommst du denn darauf?
Bei Adan-094 handelt es sich um Adware und nicht um ein Rootkit.

Das solltest du mir mal erklären wie du auf den Schädling kommst, außerdem ist ein Logfile vorhanden.

Sunny

Hallo!

Zunächst einmal großen Dank an sunny und nochdigger.

Ich mußte nach der Aktion einmal Pause machen.
Heute schalte ich den Pc ein und muß nach einiger Zeit feststellen, daß doch nicht alles in Ordnung ist

Meine Hardware-Firewall meldet immer wieder folgenden traffic:


Date: 3/11/2007 10:52:14

The packet below

Src: 192.168.0.110:2120 Dst: 85.255.114.53:53 (TCP)


45 00 00 30 c8 bc 40 00 80 06 a8 bf c0 a8 00 6f | E..0..@. .......o
55 ff 72 35 08 48 00 35 3e 93 c6 aa 00 00 00 00 | U.r5.H.5 >.......
70 02 40 00 73 02 00 00 02 04 3e ca 01 01 04 02 | p.@.s... ..>.....

matched this filter rule: BLOCK
and exceeded this limit: more than 0 kilobits transmitted or received on a connection during last second

because of this the actions below were performed:
drop
send email to administrator


Nach ein paar Minuten ist dann aber wieder ruhe.

Also ließ ich nochmal blacklight laufen, aber es wurde nichts gefunden.
Dann suchte ich in der Registry nach 85.255.114.53, und tatsächlich war die IP mehrfach vorhanden, und zwar bei den DHCP-Servern->gelöscht!

Bislang kein weiterer traffic, aber einmal abwarten...

Ist aber schon komisch Zugriff auf Port 53 und dann noch TCP, oder ist das bei DHCP normal?


Gruss
Oskar