Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Verfolgung starten Optionen

Merkwürdige Verbindung

gamer_X / 5 Antworten / Baumansicht Nickles

Seid einiger Zeit meldet meine Firewall (Kerio Personal Firewall), bei vielen unterschiedlichen Programmen, auch solchen die keine Internet-Funktionalität haben sollten, dass sie auf diese Adressen zugreifen wollen:

216-55-181-80.dedicated.abac.net [216.55.181.80], port http [80]
216-55-181-96.dedicated.abac.net [216.55.181.96], port http [80]

Ich kann mir das nicht wirklich erklären. Wahrscheinlich hab ich mir ihrgendwo Spyware oder so eingefangen. Spybot und AdAware hab ich schon mit den neusten Updates duchlaufen lassen.

Was tun?

[Diese Nachricht wurde nachträglich bearbeitet.]

Kokosbaer gamer_X „Merkwürdige Verbindung“
Optionen

Das sieht nach Adaware aus.
Guck mal nach, ob sich was im Cookie-Ordner versteckt hat:

C:/Dokumente und Einstellungen/_Nutzer_Name_/Cookies

(das kannst du dann einfach löschen)

fbe gamer_X „Merkwürdige Verbindung“
Optionen

Hier kannst du sehen wer das ist: http://www.iks-jena.de/cgi-bin/whois?param_ort=216.55.181.96&x=13&y=6#
fbe

gamer_X Nachtrag zu: „Merkwürdige Verbindung“
Optionen

Hmm, das hat mich beides noch net weiter gebracht.
Ich hab sowohl die IE als auch meine Firefox-Cookies gelöscht. Aber das Problem is immer noch.

Und wenn ich über die WHOIS Abfrage was zu der Adresse abfrage, kommen zwar Infos, aber was sollen mir die helfen???

Ich hab gerade entdeckt, dass in diesem Thread wohl das gleiche Problem diskutiert wird:

http://www.nickles.de/static_cache/538027763.html



Mir ist das aufgefallen, weil ich gerade eben die Sygate Firewall installiert habe und die zeigt nun diese Domains als Ursache des Übels an:
safe.w2kserver1.com
safe.w2kserver2.com
Allerdings haben diese Domains die gleiche IP, wie die von mir weiter oben erwähnte Domain.


Eine weitere Diskussion zu dem Thema habe ich hier entdeckt:

http://www.wcm.at/forum/showthread.php?threadid=186064



[Diese Nachricht wurde nachträglich bearbeitet.]
Danilitikus gamer_X „Hmm, das hat mich beides noch net weiter gebracht. Ich hab sowohl die IE als...“
Optionen

Spät aber doch möchte ich eine Lösung anbieten, wobei ich selbst erst weiterkam, als ich folg. engl. Beitrag las:
http://support.microsoft.com/newsgroups/newsReader.aspx?dg=microsoft.public.win2000.security&tid=557e7a71-3e66-43a1-b9c4-5144120425e0&p=1

Der Autor dieses Beitrags erwähnt eine slpube03.dll im Windows\System32-Verzeichnis - diese DLL kann jedoch auch einen anderen Namen haben, hat aber immer die gleiche Größe von 139.264 Bytes!
Bei mir hieß die Datei msgsple.dll.
ACHTUNG! Es gibt auch die System-DLLs mapi32.dll u. mapistub.dll mit gleicher Größe, aber anderer Checksum - also nicht verwechseln!!!

Ansonsten wie in dem engl. Beitrag verfahren:
1 - goto START/RUN and type:
regsvr32 /u C:\WINNT\System32\slpube03.dll [Dateiname variiert!]
2 - delete the file C:\WINNT\System32\slpube03.dll (you may need to
reboot)
3 - start regedit (START/RUN/ type regedit)
delete the following key
HKEY_LOCAL_MACHINE\SOFTWARE\SourceSafe
4 - reboot

mit 3 werden folg. Schlüssel gelöscht:
[HKEY_LOCAL_MACHINE\SOFTWARE\SourceSafe\1.0\ Cache]
"W2kIP1"="http://safe.w2kserver1.com/"
"W2kIP2"="http://safe.w2kserver2.com/"

Ich habe mir übrigens diese Malware mit einem Freeware-Tool eingefangen, das extra die Installation von SourceSafe als Option anbot - und obwohl ich diese nicht verwendete, wurde SourceSafe dennoch installiert - sehr unseriös!

gamer_X Danilitikus „Spät aber doch möchte ich eine Lösung anbieten, wobei ich selbst erst...“
Optionen

Vielen Dank für die Lösung! Ich hab schon fast nicht mehr dran geglaubt.