"oosee.exe"

Nur so als Idee: Taucht im Task-Manager eine "oosee.exe" auf? Hatte die gleichen lästigen Pop-Ups und kann mir unter dieser EXE nichts vorstellen. Kennt jemand das Ding?
Gruß
Kohli

 

es handelt sich hierbei zu99% um Malware...

wie bist du sie losgeworden?

 

Bei unbekannten exe Files hilft als erstes mal ein OnlineScan z.b. bei http://www.kaspersky.com/de/virusscanner oder bei http://www.pandasecurity.com/activescan/index/

 

jotti oder Virustotal sind besser, da dort mehrere Scanner gleichzeitig testen und man die gewünschte Datei hochladen kann

@ Kohli, dein Post wurde auf meine Bitte zu einem extraThread: bitte künftig nicht an fremde Threads ranhängen

 

@humi
....hoffentlich.
hatte den Werbekram zwei Tage lang - danach kam mir im Task-Manager die oosee.exe komisch vor. Google wusste auch nix. Habe dann den Task immer gleich nach dem Hochfahren beendet und hatte Ruhe. Heute früh mal Testversion von Norton AntiBot scannen lassen - hat die oosee.exe auch gleich aufgespürt und als hochkritisch zur Isolation vorgeschlagen. Seither Ruhe - hoffentlich war´s das. Trotzdem würde mich interessieren, wie das Teil auf´s System kam. (....hier agieren 2 User ;-))
Gruß
kohli

 

ok...
da dein System alles andere als sauber zu sein scheint:

bitte führe HJT aus und poste hier das Log
http://sicher-ins-netz.info/analyse/

weiters bitte mittels Malwarebytes Anti-Malware scannen und das log hier posten- nichts beheben lassen:
http://www.malwarebytes.org/mbam.php

 

Hier die Logs als Anhang - EGDAccess kam über einen "Besuch" bei Sudoplanet.
Gruß
Kohli

 

fixe mal alle 018 Einträge (Haken in HJT setzen und fixen klicken)
und dann ein neues Log... ist mir zu unübersichtlich

Malwarebytes im abgesichertem Modus, bei deaktivierter Systemwiederherstellung nochmals scannen lassen und alles beheben



gibt es eine Erklärung für dich, dass dein Rechner über die Staaten surft?
>>192.168.120.252<<

 

Hallo -
hier die neuen Logs.
Erklärung für die IP habe ich nicht. (1&1?)
Gruß
Kohli

 

die Erklärung für deine IP: dein System ist teilweise in fremder Hand: botnetz
näheres morgen, wenn möglich, den Rechner aus dem Netzwerk nehmen und über einen sauberen arbeiten, kein OnlineBanking oder dgl betreiben

gn8

 

Hallo -
muss ich mir nun Sorgen machen wegen der 017er Einträge
192.168.120.252 ?
Gruß
Kohli

 

Das kommt darauf an, ob die DNS-Server von deinem Provider sind oder nicht.
Wie gehst du denn online?
Wenn es über einen Router geht, kannst du "IP automatisch beziehen" und "DNS automatisch beziehen" in den Eigenschaften des TCP/IP-Protokolls angeben und der Router wählt den DNS-Server von deinem Provider aus.
So wie sie in der Windows Netzwerkkonfiguration eingetragen sind, können sie von Malware verursacht worden sein, um dein Surfverhalten zu beeinflussen und dich auf schädliche Seiten umzuleiten. Damit können dann auch Updates von Windows Update und AV-Scanner verhindert werden.
http://www.akademie.de/grundlagen-c...konfiguration-netzwerke-vista-xp-windows.html

 

Danke für die Antwort!
....der Rechner geht über 1&1 DSL (Fritz Card DSL) ins Netz - gemäß deren Vorgaben sind "IP-Adresse automatisch beziehen" und "DNS-Serveradresse automatisch beziehen" jeweils aktiviert. Hat es Sinn, die protokollierten Adressen beim Provider zu hinterfragen? ipconfig/all gibt als IP-Adresse 84.100.28.179 aus und als DNS-Server 217.257.151.142 und 217.237.150.188.
Gruß
Kohli

 

Die beiden DNS-Server sind der Telekom. Das ist in Ordnung. 1&1 benutzt die Infrastruktur der Telekom noch zum Teil.
Hinterfragen kann man da nichts. Da muss man darauf vertrauen, dass sie nur die Daten protokollieren und rausgeben, die sie müssen. Seit dem 1.1. werden die Verbindungsdaten 6 Monate lang gespeichert. (Vorratsdatenspeicherung )

 

Frage:
Kann ich einfach die 017er Einträge
192.168.120.252,192.168.120.253 und
192.168.122.252,192.168.122.253
löschen lassen und schauen, was passiert?
Ansonsten gab es ja keine kritischen oder fraglichen Einträge.....
Gruß
Kohli

 

wo bleibt das neue HJT log?

und nein du fixt vorerst nichts..

wer sagt das?

und nebenbei:
dein Thread begann vor 4 Tagen- mittlerweile kann sich alles noch schlimmer entwickelt haben

 

Hallo -
hier die beiden aktuellen Protokolle

 

....und die Protokolle von eben.....
Gruß
Kohli

 

es ist zuviel Zt vergangen um ein System sicher zu bereinigen

deswegen:#
http://www.trojaner-board.de/12154-...s-systems-und-anschliessende-absicherung.html

 

....dann vorerst mal vielen Dank für die Auskunft und einen Guten Rutsch nach 2009....
Gruß
Kohli
....ach ja:
In den "Anwendungsdaten" habe ich oosee.dat und oosee_nav.dat und oosee_navps.dat gefunden. Evtl. sagt das ja jemanden was.....