mein pc "spricht" unerlaubt mit einem remote-pc

[Trader323]

hey leute!

ich kanns mir nicht erklären warum, weil ich hab keine software installed in letzter zeit bzw. irgendwelche anhänge von mails geöffnet.

jedenfalls versuchen verschiedene programme (ie + nero + viele mehr) mit einer bestimmten addy zu kommunizieren:

216.55.181.80, port http [80]

meine billig-firewall (weil norton & co find ich sch....lecht) hat folgende addy ausgespuckt:

216-55-181-80.dedicated.abac.net
216-55-181-96.dedicated.abac.net

eine google-suche ergab sehr wenig, ausser dass sich dahinter eine firma namens abacus inc. versteckt. nur, wtf, was wollen die damit erreichen? mein isp ist inode und ich brauch sicher keinen us-isp.

206.225.84.11 - 206-225-84-11.dedicated.abac.net ist laut www.kloth.net/internet/badbots.php ein bot - denke mir also dass die oben angeführten addys auch bots sind.

wie kann ich das abstellen? da ich ja keine programme bei mir finde die damit zu haben könnten? hat da wer eine idee????

lg daniel

[SerenDwyn]

Lass doch mal deinen Virenkiller mit aktueller Virendefinition laufen sowie ein Programm à la Ad-Aware

[dareel]

google mal nach dem tool "active ports", damit kannst du dir alle ports anzeigen lassen mit dem jeweiligen programm was da lauscht. mit der nfo sollte das entfernen im anschluss kein problem mehr sein

edit:
mit autoruns kannst du alle autostart einträge checken & nach dubiosen programmen suchen.

[1stz]

Wer oder was ist "AUTORUNS"???

[Trader323]

@ serendwyn: ajoooo meine güte war noch etwas verschlafen - darauf hätte ich auch kommen müssen...

adaware installed und drübergelaufen

jetzt noch schnell spybot...dann müsste alles clean sein

@dareel: thx für deinen tip - werd ich auch noch checken...

[Christoph]

Hallo Trader323,
hier noch einige Testprogis:
http://www.safer-networking.org/inde...nload-managers
http://www.lavasoft.de/german/support/download/
http://www.javacoolsoftware.com/
http://www.spywareinfo.com/~merijn/downloads.html
http://www.merijn.org/downloads.html
http://vil.nai.com/vil/stinger/

Bei HiJack This eine Logfileauswertung machen lassen!

@1stz:
Goggle könnte Dir helfen
http://www.sysinternals.com/Utilities/Autoruns.html
Können auch andere Progis wie z.B. TuneUp

[kolAflash]

Ich hab das gleiche Problem und dazu schon eine kleine Diskussion unter dieser URL eröffnet:
http://www.nickles.de/static_cache/538032330.html
Vielleicht schaut man mal vorbei.

Große Fortschritte habe ich leider noch nicht gemacht. Ich hab nur in meiner Firewall die IPs 216.55.181.80 und 216.55.181.96 gesperrt um die Kommunikation erstmal zu unterbinden.

[Danilitikus]

Spät aber doch möchte ich eine Lösung anbieten, wobei ich selbst erst weiterkam, als ich folg. engl. Beitrag las:
http://support.microsoft.com/newsgro...44120425e0&p=1

Der Autor dieses Beitrags erwähnt eine slpube03.dll im Windows\System32-Verzeichnis - diese DLL kann jedoch auch einen anderen Namen haben, hat aber immer die gleiche Größe von 139.264 Bytes!
Bei mir hieß die Datei msgsple.dll.
ACHTUNG! Es gibt auch die System-DLLs mapi32.dll u. mapistub.dll mit gleicher Größe, aber anderer Checksum - also nicht verwechseln!!!

Ansonsten wie in dem engl. Beitrag verfahren:
1 - goto START/RUN and type:
regsvr32 /u C:\WINNT\System32\slpube03.dll [Dateiname variiert!]
2 - delete the file C:\WINNT\System32\slpube03.dll (you may need to
reboot)
3 - start regedit (START/RUN/ type regedit)
delete the following key
HKEY_LOCAL_MACHINE\SOFTWARE\SourceSafe
4 - reboot

mit 3 werden folg. Schlüssel gelöscht:
[HKEY_LOCAL_MACHINE\SOFTWARE\SourceSafe\1.0\ Cache]
"W2kIP1"="http://safe.w2kserver1.com/"
"W2kIP2"="http://safe.w2kserver2.com/"

Ich habe mir übrigens diese Malware mit einem Freeware-Tool eingefangen, das extra die Installation von SourceSafe als Option anbot - und obwohl ich diese nicht verwendete, wurde SourceSafe dennoch installiert - sehr unseriös!