subxaero
Lt. Junior Grade
- Registriert
- Juni 2001
- Beiträge
- 343
und zwar hat sich seid neustem dieser ends nervige Wurm bei mir eingenistet.
ohne vorwarnung installiert er sich in c:\programme\WebsiteViewer mit 5 dateien, die nur 6 ziffern (wie zb 127068.* oder so) beinhalten.
da ist einmalne exe, nen icon, ne dlr und noch 2 andere.
das program ist ein dialer, der sich immer über eine modemverbindung bei mir einwählen will(er greift dabei auf den port zu, an dem manchmal mein handy hängt, da ich kein echtes modem hab). da ich dsl hab, kommt dann halt nach kurzer zeit immer ein pop-up von wegen "error 663 - dial failed" oder so.
freundlicherweise erstellt das programm auch noch ein desktop-icon mitner netten frau drin unter der "SEXXX" steht.
desweiteren hab ich den executor von der downloadroutine(denk ich mal) gefunden: eine kleine exe auf c:\ namens misb.exe(mit selbigem logo)...
als einzigsten text in der exe hab ich folgendes gefunden:
R E G I S T R Y T Y P E L I B ““È’ HKCR
{
NoRemove AppID
{
{1E89F684-B78D-4C85-9EFC-3474516E3FE2} = s 'tibsloader'
'tibsloader.EXE'
{
val AppID = s {1E89F684-B78D-4C85-9EFC-3474516E3FE2}
}
}
}
€“ HKCR
{
LoaderCon.LoaderCon.1 = s 'TIBS Loader module'
{
CLSID = s '{1E89F686-B78D-4C85-9EFC-3474516E3FE2}'
}
LoaderCon.LoaderCon = s 'TIBS Loader module'
{
CLSID = s '{1E89F686-B78D-4C85-9EFC-3474516E3FE2}'
CurVer = s 'LoaderCon.LoaderCon.1'
}
NoRemove CLSID
{
ForceRemove {1E89F686-B78D-4C85-9EFC-3474516E3FE2} = s 'TIBS Loader module'
{
ProgID = s 'LoaderCon.LoaderCon.1'
VersionIndependentProgID = s 'LoaderCon.LoaderCon'
ForceRemove 'Programmable'
LocalServer32 = s '%MODULE%'
val AppID = s '{1E89F684-B78D-4C85-9EFC-3474516E3FE2}'
}
}
}
und das:
KERNEL32.DLL ADVAPI32.dll ole32.dll OLEAUT32.dll SHELL32.dll USER32.dll WININET.dll LoadLibraryA GetProcAddress ExitProcess RegCloseKey CoInitialize ShellExecuteA CharNextA InternetOpenA
oder
http://+αm»?v=&tid½ØvÖ—lCg áBáß7download.sy;¶}s*mm}4.fc) µöìÚ0
nicht dass ich da irgendetwas verstehen würde.
also. jetzt zu den sachen die ich gegen das problem ausporbiert hab.
wenn die dateien nicht aktiv sind, kann man sie ganz simpel löschen. auch nortonantivirus späht sie auf und exkludiert sie. dummerweise kommen sie immer wieder und heißen dann auch ein wenig anders.
die dlr nimmt wenn sie gestartet ist auch stolze 15MB RAM mit ins grab, was mich mal richtig ankotzt.
dann ahb ich also unendliche foren durchsucht, wo leute das selbe problem auf ähnliche weise hatten.
dort wurde der "hijack-this" empfohlen.
hab ich auch scannen lassen, aber da findet sich NICHTS (ich kenn mich ja aus )
genau wie bei spybot - nichts dergleichen.
mittlerweile bin ich mit meinem latein am ende, da sich nichts in der regestry findet und auch die vermutung, dass mein itunes etwas damit zu tun hat, irgendwie abwägig ist.
danke an alle menschen, die diesen roman gelesen haben, und sich vielleicht ein paar gedanken machen
ohne vorwarnung installiert er sich in c:\programme\WebsiteViewer mit 5 dateien, die nur 6 ziffern (wie zb 127068.* oder so) beinhalten.
da ist einmalne exe, nen icon, ne dlr und noch 2 andere.
das program ist ein dialer, der sich immer über eine modemverbindung bei mir einwählen will(er greift dabei auf den port zu, an dem manchmal mein handy hängt, da ich kein echtes modem hab). da ich dsl hab, kommt dann halt nach kurzer zeit immer ein pop-up von wegen "error 663 - dial failed" oder so.
freundlicherweise erstellt das programm auch noch ein desktop-icon mitner netten frau drin unter der "SEXXX" steht.
desweiteren hab ich den executor von der downloadroutine(denk ich mal) gefunden: eine kleine exe auf c:\ namens misb.exe(mit selbigem logo)...
als einzigsten text in der exe hab ich folgendes gefunden:
R E G I S T R Y T Y P E L I B ““È’ HKCR
{
NoRemove AppID
{
{1E89F684-B78D-4C85-9EFC-3474516E3FE2} = s 'tibsloader'
'tibsloader.EXE'
{
val AppID = s {1E89F684-B78D-4C85-9EFC-3474516E3FE2}
}
}
}
€“ HKCR
{
LoaderCon.LoaderCon.1 = s 'TIBS Loader module'
{
CLSID = s '{1E89F686-B78D-4C85-9EFC-3474516E3FE2}'
}
LoaderCon.LoaderCon = s 'TIBS Loader module'
{
CLSID = s '{1E89F686-B78D-4C85-9EFC-3474516E3FE2}'
CurVer = s 'LoaderCon.LoaderCon.1'
}
NoRemove CLSID
{
ForceRemove {1E89F686-B78D-4C85-9EFC-3474516E3FE2} = s 'TIBS Loader module'
{
ProgID = s 'LoaderCon.LoaderCon.1'
VersionIndependentProgID = s 'LoaderCon.LoaderCon'
ForceRemove 'Programmable'
LocalServer32 = s '%MODULE%'
val AppID = s '{1E89F684-B78D-4C85-9EFC-3474516E3FE2}'
}
}
}
und das:
KERNEL32.DLL ADVAPI32.dll ole32.dll OLEAUT32.dll SHELL32.dll USER32.dll WININET.dll LoadLibraryA GetProcAddress ExitProcess RegCloseKey CoInitialize ShellExecuteA CharNextA InternetOpenA
oder
http://+αm»?v=&tid½ØvÖ—lCg áBáß7download.sy;¶}s*mm}4.fc) µöìÚ0
nicht dass ich da irgendetwas verstehen würde.
also. jetzt zu den sachen die ich gegen das problem ausporbiert hab.
wenn die dateien nicht aktiv sind, kann man sie ganz simpel löschen. auch nortonantivirus späht sie auf und exkludiert sie. dummerweise kommen sie immer wieder und heißen dann auch ein wenig anders.
die dlr nimmt wenn sie gestartet ist auch stolze 15MB RAM mit ins grab, was mich mal richtig ankotzt.
dann ahb ich also unendliche foren durchsucht, wo leute das selbe problem auf ähnliche weise hatten.
dort wurde der "hijack-this" empfohlen.
hab ich auch scannen lassen, aber da findet sich NICHTS (ich kenn mich ja aus )
genau wie bei spybot - nichts dergleichen.
mittlerweile bin ich mit meinem latein am ende, da sich nichts in der regestry findet und auch die vermutung, dass mein itunes etwas damit zu tun hat, irgendwie abwägig ist.
danke an alle menschen, die diesen roman gelesen haben, und sich vielleicht ein paar gedanken machen