Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Verfolgung starten Optionen

Merkwürdige Verbindung

gamer_X / 5 Antworten / Flachansicht Nickles

Seid einiger Zeit meldet meine Firewall (Kerio Personal Firewall), bei vielen unterschiedlichen Programmen, auch solchen die keine Internet-Funktionalität haben sollten, dass sie auf diese Adressen zugreifen wollen:

216-55-181-80.dedicated.abac.net [216.55.181.80], port http [80]
216-55-181-96.dedicated.abac.net [216.55.181.96], port http [80]

Ich kann mir das nicht wirklich erklären. Wahrscheinlich hab ich mir ihrgendwo Spyware oder so eingefangen. Spybot und AdAware hab ich schon mit den neusten Updates duchlaufen lassen.

Was tun?

[Diese Nachricht wurde nachträglich bearbeitet.]

Das sieht nach Adaware aus. Guck mal nach, ob sich was im Cookie-Ordner ... Kokosbaer
Merkwürdige Verbindung fbe
Hmm, das hat mich beides noch net weiter gebracht. Ich hab sowohl die IE als ... gamer_X
Danilitikus gamer_X „Hmm, das hat mich beides noch net weiter gebracht. Ich hab sowohl die IE als...“
Optionen

Spät aber doch möchte ich eine Lösung anbieten, wobei ich selbst erst weiterkam, als ich folg. engl. Beitrag las:
http://support.microsoft.com/newsgroups/newsReader.aspx?dg=microsoft.public.win2000.security&tid=557e7a71-3e66-43a1-b9c4-5144120425e0&p=1

Der Autor dieses Beitrags erwähnt eine slpube03.dll im Windows\System32-Verzeichnis - diese DLL kann jedoch auch einen anderen Namen haben, hat aber immer die gleiche Größe von 139.264 Bytes!
Bei mir hieß die Datei msgsple.dll.
ACHTUNG! Es gibt auch die System-DLLs mapi32.dll u. mapistub.dll mit gleicher Größe, aber anderer Checksum - also nicht verwechseln!!!

Ansonsten wie in dem engl. Beitrag verfahren:
1 - goto START/RUN and type:
regsvr32 /u C:\WINNT\System32\slpube03.dll [Dateiname variiert!]
2 - delete the file C:\WINNT\System32\slpube03.dll (you may need to
reboot)
3 - start regedit (START/RUN/ type regedit)
delete the following key
HKEY_LOCAL_MACHINE\SOFTWARE\SourceSafe
4 - reboot

mit 3 werden folg. Schlüssel gelöscht:
[HKEY_LOCAL_MACHINE\SOFTWARE\SourceSafe\1.0\ Cache]
"W2kIP1"="http://safe.w2kserver1.com/"
"W2kIP2"="http://safe.w2kserver2.com/"

Ich habe mir übrigens diese Malware mit einem Freeware-Tool eingefangen, das extra die Installation von SourceSafe als Option anbot - und obwohl ich diese nicht verwendete, wurde SourceSafe dennoch installiert - sehr unseriös!

Vielen Dank für die Lösung! Ich hab schon fast nicht mehr dran geglaubt. gamer_X