Ich glaub ein dienst oder etwas ähnliches ist mit dem "Gator" verseucht. Hab schon die Registratur nach Gator einträgen durchsucht nichts. Auch auf der Festplatte nix. Aber meine Firewall (Norton 2003) meldet mir das meine selbst erstelle Rule (namens GATOR RULE) benutzt wurde. Diese Rule habe ich erstellt um zuverhindern, das der Gator ins Internet kommt. Ich hab einfach folgende Internetaddy mit der Rule gesperrt: "webpdp.gator.com" Seit dem blockt gibt es mir regelmäßig einen Securityalert das die Rule benutzt wurde. Weiß jemand wo sich der eingenistet hat? In einem Dienst, wenn ja welcher name?
die ständige wiederholung sinnloser antworten löst keine probleme. der anfragende wollte wissen, ab gator einen dienst "befallen" kann.
"...Ich glaub ein dienst oder etwas ähnliches ist mit dem "Gator" verseucht...."
NEIN. gator kann keine dienste befallen.
gator ist schadsoftware (spyware) und mit einfachen mitteln zu entfernen. dazu kann man dann endlich auch deine 3 lieblingsprogramme nutzen, wobei spybot in diesem fall völlig ausreichend ist.
gator ist schadsoftware (spyware) und mit einfachen mitteln zu entfernen
Allerdings sollte man noch erwähnen, dass Gator i.d.R. mit "kostenlosen" Versionen eigentlich kommerzieller Programme kommt (z.B. DivX) und daher oft das zugehörige Programm nicht mehr läuft, nachdem Gator entfernt wurde.
Logfile of HijackThis v1.98.2
Scan saved at 23:03:20, on 09.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
übrigens adaware hatte ich bereits hat nix gefunden außer ein paar cookies.(wie immer halt!) hab jetzt schon alle möglichen Ursache noch entfährnt die dafür verantwortlich sein konnten. kein Plan helft mir? svchost.exe macht connecton über Port 2869 auf webpdp.gator.com
Die Ad-ware-Hersteller scheuen Krach mit Microsoft. Also wird bei der Datei NICHT Microsoft als Hersteller angegeben sein. Du muss also bei den verdächtigen Dateien, die Dateieigenschaften anklicken (Rechtsklick auf die Datei), Version, Hersteller.
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Am besten im abgesicherten Modus starten und mit Hijackthis fixen.
außerdem sagt Spybot Search&Destroy immer, dass der "DSO Exploit" eine sicherheitslücke ist. dann behebe ich sie mach nen Neustart und scan wieder und habe wieder den gleichen scheis
Schau mal auf diese Seite:
www.chip.de/forum/thread.html?bwthreadid=673280
Suche auf der Seite nach:
"Soweit ich weiß, hat Spybot zwar diese Problem bereinigt" (also mit dem Tippfehler)
erstes Problem beseitig! :-)) Search&Destroy sagt mir das mein Rechner Spion frei ist!
zweites Problem besteht immernoch, nach dem ich mich mit Benutzername und Kennwort angemeldet habe und alle Programme geladen sind, kommmt die Security Messege vom Norton
svchost.exe connect webpdp.gator.com !!! HILFE !!!
Mache doch mal eine Suche (Windows-Suchfunktion) über Dein Gesamtsystem, also zumindest alle Partitionen auf denen Programmdateien liegen. Eine Suche nicht nach Dateinamen, sondern nach Text. Das dauert natürlich sehr lange. Begriffe wie "gator" eingeben. Und mach das Gleiche mit der Registry. Zwischendurch nicht neu starten! Gefundene Registry-Zweige nicht löschen, sondern umbenennen. Z.B. indem Du xyz voranstellst, das macht sie wirkungslos...und zur Not kannst Du sie wieder restaurieren. Manche Registry-Einträge mit "gator" (oder anderen verdächtigen Begriffen) sind allerdings zu Recht vorhanden, z.B. bei Norton oder bei Spybot, Search & Destroy...und natürlich auch bei der Windows-Suche...wenn Du zuvor gesucht hast.
Außerdem findest Du vielleicht noch den Installationszeitpunkt (Tag/Uhrzeit) oder erinnerst ihn ungefähr. Dann kannst Du nach Dateien auf dem System suchen, die um die gleiche Zeit erstellt wurden. Aber Vorsicht beim Löschen. Ich würde die Dateien in einen Extra-Ordner verschieben und Zippen. Überhaupt solltest Du so riskante Aktionen erst machen, wenn Du ein System-Backup hast.
Es gibt keine Registratureinträge mit der Bezeichnung "gator" die normal sind außer "navigator" :-)) Und ich habe meine Registratur bereits durchsucht. Und die Festplatte auch. Auch so wie du es beschreiben hast, bin ja net blöd! :-)) Wenn ich wüsste mit welchem Programm es zu tun hat, dann wäre es bereits runter! Also hat sonst noch jemand ne Idee! Ach übrigens "Tilo Nachdenklich" wenn du die Beiträge alle gelesen hättest, dann wüstest du das ich bereits alles durchsucht habe! :-))
mensch, bist du ein witzbold, was meinst du was ich vor einer Woche getan habe. Ich hab auch noch was anderes zu tun außer meinen Rechner zu formatieren! Lößt du deine Probleme immer durch formatieren? Was ist wenn das Problem dann wieder auftaucht? Wie formatieren?
mensch, bist du ein witzbold, was meinst du was ich vor einer Woche getan habe. Ich hab auch noch was anderes zu tun außer meinen Rechner zu formatieren! Lößt du deine Probleme immer durch formatieren? Was ist wenn das Problem dann wieder auftaucht? Wieder formatieren?
ich habe so ein problem NICHT, da ich mir keine gatorverseuchte software installiere und ein vertrauenswürdiges image habe. außerdem habe ich ein funktionierendes sicherheitskonzept.
du jedoch hast das problem immernoch, weil du nicht die ratschläge befolgst.
wer lesen kann ist klar im vorteil, aber für dich wiederhole ich gerne noch einmal:
mensch, bist du ein witzbold, was meinst du was ich vor einer Woche getan habe. Ich hab auch noch was anderes zu tun außer meinen Rechner zu formatieren! wenn du keine Andere Lösung kennst dann halt dich halt raus!
Es gibt natürlich noch die Möglichkeit die Prozesse zu beobachten...man muss einiges notieren und dann vergleichen. Computer-Neustart. Dann Strg + Alt + Entf und auf Prozesse gehen. Dann ins Internet einwählen und Prozesse vergleichen. Da kommt natürlich IE dazu und die Einwahlsoftware...vielleicht macht auch die Firewall.
Man kann die Prozesse auch mit Spybot, Search & Destroy beobachten. Hat den Vorteil dass zum Prozess auch noch der Pfad zur zuständigen Datei angegeben ist!! Also mal auf Werkzeuge klicken (unten links) und im Fenster ein Häkchen bei Prozesse setzen und dann links Prozesse anklicken. Bei den Dateien selber kann man dann auch die schon erwähnte Anzeige des (vorgeblichen) Herstellers erfolgen. Wie gesagt, manche Leute legen sich nicht gern mit Microsoft (oder anderen namhaften Firmen) an. Da steht dann - bei einem Problemfall - wohl gar nichts oder der Name des Übeltäters oder ein Phantasiename.
Einwahlsoftware gibts net, wir haben nen Router. Und mit dem IE hats auch net zu tun, da das Problem nur beim neustarten des Rechners auftritt. Und bei den Prozessen gibts auch nix verdächtiges, hab schon alles durchgeschaut! Außer das ich mehr svchost.exe Prozesse hab als sonst, wenn mir jetzt noch jemand sagen könnte wo die Dienste der svchost genau in der Registratur sind dann kann ich den gator wahrscheinlich auch entfährnen!
Ich weiß ja nicht, ob es was bringt, ich bin auch nur am Experimentieren mit Spybot.
Ich habe 4-mal svchost.exe. Zweimal wird der Pfad angezeigt (Windows, System32, zweimal nicht (C:\)). Aber der Pfad lässt sich übers Kontextmenü herausfinden, indem man die svchost.exe-Datei über markieren und Kontextmenü "im Explorer anzeigen" anzeigen lässt. Den Pfad sieht man oben in der Adresse.
Außerdem bekommt man Daten von der svchost.exe, indem man in die Zwischenablage kopiert und den Inhalt in ein Editorfenster einfügt.
Ich hab 7-mal die svchost.exe und ich hab den gator jetzt entdeckt, hätte ich eigentlich auch früher drauf kommen können: Hab nämlich den Prozessexplorer geöffnet und dann hat er die application unter svchost.exe aufgerufen. die datei heißt wmiprvse.exe und ist im Verzeichniss C:\WINDOWS\system32\wbem !! Hast du das Verzeichnis auch? Hast du SP2?
Ich habe Service Pack 2 und ich habe die Datei 4-mal. 3-mal mit 218112 Größe und eine ältere mit 203776 als Uninstalldatei. Im wbem-Ordner ist sie nur einmal (mit 218112). Das ist noch nicht der gator denke ich. Ich hatte mal ne Internetseite die verriet wie man echte und falsche svchost.exe unterscheidet...aber ich finde das Mistding nicht.
du hast recht des Ding ist noch immer da, zum Glück hab ich ein Backup gemacht! Ich mach mich mal auf die Suche nach der Seite mit den falschen svchost.exe (falschen Diensten)
finde nix, außerdem ist svchost.exe ja nur die zusammenfassung mehrerer Dienste! Also müsste ich mal rauskriegen was des für ein Dienst ist bzw. wie der heißt! Weil auf dem ersten Blick sind keine verdächtigen zu erkennen
Wolfsburger
Max Payne
