Jede Minute 12 TCP-Packete an 69.20.20.161 Port 80

Internet Internet Sicherheit
#1

Hallo allerseits,

jede Minute versucht mein ‚Zweit-Rechner‘ (mit W2000SP4) 12 TCP-Packete
an 69.20.20.161 zu schicken. Eigentlich kein Problem - weil die Packete werden abgefangen + Rechner nicht am Internet. Ist aber doch schon Besorgnis erregend.
Potentieller Kandidat ist: Look2me spyware. (Wer weiss, ob der Spion tatsächlich mit denen ((look2me)) was zu tun hat; immerhin sollen ja Packete dort hingehen.)

AdAwareSE v1.0.5 mit vx2cleaner: hat nix gefunden.
CWShedder211: hat nix diesbezüglich gefunden.
Mit HJTv1.98.0: hab ich unnötige Dinge rausgelöscht. Aber keine Besserung.
(TCP-Packet-Test unmittelbar sofort + nach Reboot. Jeweils keine Besserung.)

nur: RegEdit -> HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows ->
CurrentVersion -> Internet Settings -> UserAgent -> PostPlatform:
„{77852E30-1A6D-4E56-8061-9C88C7B59720}“ steht hier immer drin.
(Auf nem normalen W2K-PC finde ich das nicht…)
Dies lässt sich zwar kurzzeitig manuell rauslöschen kommt dann aber aber
nach EXIT + call REGEDIT immer wieder.

google sagt u.a.: http://www.vitalsecurity.org/twinthreats.htm
Aber da steht nur was von „If this fails, then manual removal is simply a case
of deleting the above registry file.“, aber nix von wieder auftauchen…

Ich soll nicht etwa das _ganze_ Registry file löschen („deleting the above registry file“) ? Da muss ich erstmal ermitteln wo das liegt…

BTW: Ein potentiell problematisches file: redirect2.txt gibts bei mir auch nicht auf den Rechner.

Wer weiss Rat ?

VG,
-Thomas

#2

Hallo Wurzel

AdAwareSE v1.0.5 mit vx2cleaner: hat nix gefunden.
CWShedder211: hat nix diesbezüglich gefunden.
Mit HJTv1.98.0: hab ich unnötige Dinge rausgelöscht. Aber
keine Besserung.
(TCP-Packet-Test unmittelbar sofort + nach Reboot. Jeweils
keine Besserung.)

Lass die Dinger mal im abgesicherten Modus laufen. Spyware und andere Sachen haben die unangenehme Angewohnheit, sich so im System einzunisten, dass sie sich automatisch wiederherstellen. Im abgesicherten Modus werden sie jedoch nicht gestartet und sind so eher wirksam zu bekämpfen. Ebenso der genannte Registry-Eintrag.

Wenn das nicht hilft, würde ich den Rechner frisch aufsetzen und dann sehr gut aufpassen, was so alles drauf kommt.

CU
Peter

#3

abgesicherter Modus(infiziert): ‚Error Winlogon‘
Hallo Peter,

Hallo Wurzel

AdAwareSE v1.0.5 mit vx2cleaner: hat nix gefunden.
CWShedder211: hat nix diesbezüglich gefunden.
Mit HJTv1.98.0: hab ich unnötige Dinge rausgelöscht. Aber
keine Besserung.
(TCP-Packet-Test unmittelbar sofort + nach Reboot. Jeweils
keine Besserung.)

Lass die Dinger mal im abgesicherten Modus laufen. Spyware und
andere Sachen haben die unangenehme Angewohnheit, sich so im
System einzunisten, dass sie sich automatisch
wiederherstellen. Im abgesicherten Modus werden sie jedoch
nicht gestartet und sind so eher wirksam zu bekämpfen. Ebenso
der genannte Registry-Eintrag.

Das Fieh hat echt auch den ‚abgesicherten Modus‘ manipuliert.
Ich konnte mich - nur im abgesicherten Modus - auf Grund einer Fehlermeldung - nicht mehr einloggen. [[Cool gemacht von den Jungs…]]
Allerdings war es kein sehr schwerwiegendes Problem - es liess sich durch vorher-
gehende Anwendung von VX2Finder.exe (Länge: 131.072 bytes, v1.0.0.60,
md5sum: 30a4e78e2c9640e20f1e4eb41ce538a0 , „Finder Utilty to search for Look2Me trojan files“ /Company: „Option^Explicit Software“ [[Der Schreibfehler Utilty stammt aus dem Tool selbst]]) beheben. Durch folgende mehrfache Anwendung dieses Tools im abgesicherten Modus hatte ich das System dann schliesslich frei. Sieht zumindest stark danach aus.

Wenn das nicht hilft, würde ich den Rechner frisch aufsetzen
und dann sehr gut aufpassen, was so alles drauf kommt.

CU
Peter

Dankend für den Tipp…

Interessant dennoch, dass die anderen Scanner nix gefunden haben,
aber so ist das halt.

VG,
-Thomas