• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

Unerwünschter I-net Verbindungsversuch durch JAVA.exe

S

Suzzi

Neues Mitglied
Huhu,

bei mir startet seit ca. 5-6 Tagen immer wieder bisweilen einfach nur so halt aus dem Nichts raus "java.exe", und mein Ausgangsüberwachungstool meldet mir dann, dass java.exe versucht eine Verbindung mit "goodest.traeumtgerade.de" aufzubauen. Ich habe jedoch keine Ahnung was goodest.traeumtgerade.de überhaupt sein soll, ich will da auf jeden Fall nicht hin und war auch niemals auf solch einer Seite. Bis vor 5-6 Tagen gab es niemals solch einen Verbindungsversuch. Ich kann diesen Zugriffsversuch natürlich dauerhaft vebieten, dennoch interessiert mich aber was da konkret vor sich geht. Hab mal nach Java.exe in Verbingung zu "goodest.traeumtgerade.de" gegoogelt, finde dazu aber rein gar nichts.

Habe keinerlei neuen Programme installiert seit ein paar Wochen. Das letzte Java Update auf Vers. 1.6.0_30-b12 hab ich vor ca 2 Monaten gemacht.

Virenscanner zeigt mir beim FP scannen keinerlei Probleme an. HijackThis findet ebenfalls keinerlei Probleme. Spyware Scanner findet auch nichts.

Hat jemand eine Ahnung was es mit diesem Verbindungsversuch via der java.exe zu "goodest.traeumtgerade.de" auf sich haben könnte?

LG Suzzi

javak.jpg
 
Werbung:
Du hast dir wahrscheinlich etwas eingefangen, also entweder einen Wurm oder Spyware. Die Seite auf die zugegriffen werden sollte liegt auf einem Kostenlosen Hoster und ist mittlerweile gelöscht.

Es ist aber nicht sicher ob noch andere Seiten abgefragt werden.
Wenn du Java nicht brauchst, kannst du es löschen oder abschalten und dann mit einem Virenscanner auf Virensuche gehen.

Wenn du dich gar nicht auskennst kannst du auch Hilfe im Forum Trojaner-board.de erhalten.

Wenn du dich auskennst, dann fahre deinen Rechner im abgesicherten Modus hoch und lasse dann einen Virenscanner laufen.
Ich kann dir auch noch Malwarebytes und Adaware empfehlen, als zusätzlichen Scan für dein System, da nicht alles zuverlässig von den Virenscannern erkannt wird.
 
Huhu,

Dein Tipp bezüglich "Malwarebytes und Adaware" war PERFEKT! Danke.

Ich glaub ich habe nach den Scans jetzt erstmal richtig viel zu tun.

LG Suzzi
 
Werbung:
Huhu,

habe jetzt mal bei Malwarebytes Antimalware die Website Blockierung und den permanenten Schutz eingeschaltet. Jetzt meldet mir das aber in unregelmäßigen Abständen immer, dass potentiell gefährliche Webseiten ausgehend blockiert werden. Angezeigt bekomme ich jedoch nur eine IP z.B. diese hier "193.107.16.78" und sonst nichts weiters, es gibt auch keine Log Datei wo nähere Infos dazu drinstehen um was für eine Seite es sich dabei konkret handelt. Da da ja "ausgehend" steht, ist da dann vlt. immer noch was an Schädlingen auf meinen System? Oder was sonst will mir diese Meldnung sagen? Und warum bekommt man nur eine IP mitgeteilt und nicht die Seite wo hingesendet werden soll? Über Google und auf Malwarebytes Seiten finde ich nirgends eine Antwort auf meine fragen. Kann bitte jemand helfen?

LG Suzzi
 
Die Ip gehört jemanden auf den Seychellen und die Spur führt nach Russland.

Demzufolge hast du auf jeden Fall Spyware oder ähnliches noch auf dem Rechner.
Wenn kein Tool anspringt sichere ohne Internet deine wichtigen Daten und nur reine Daten auf einen Stick und installiere dein Betriebssystem neu.

Keine Programme sichern.

Wenn du anschliessend dein Windows neu installiert hast, dann als erstes Firewall und Antivirus installieren.
Wenn du ins Internet geht solltest du das mit der neuesten Version von Firefox tun und am besten Noscript installieren.
E-Mails sollten nur im Textmodus angezeigt werden. Html-Mails sind grundsätzlich anfällig für alles Mögliche.

Edit:

Noch ein paar Tipps.
Wenn du in den letzten 14 Tagen Online-Banking benutzt hast kontrolliere dein Konto und sperre es für Auslandsüberweisungen oder noch besser wechsel dein Konto.
Verwende beim Online-Banking einen Cardreader, der hat die höchste Sicherheit im Moment. Wenn die Bank das nicht anbietet wechsel die Bank.

Ändere alle Passworte so schnell wie möglich. Sie sollten mindesten immer 10 Stellen haben.
Wenn du in sozialen Netzwerken bist gebe keine privaten Informationen über dich Preis, weder Alter noch Geschlecht noch wo du wohnst. Schalte alles auf engste Freunde, mache nichts öffentlich.
Checke in den Suchmaschinen deinen Namen und versuche keine weiteren Spuren zu hinterlassen.

Das ist keine Paranoia, sondern gesunder Menschenverstand.
 
Zuletzt bearbeitet von einem Moderator:
Das klingt ja nicht gerade berauschend was Du da erzählst.

Bevor ich das BS neu aufsetze laß ich aber jetzt erstmal noch ein paar div. Scanner drüberlaufen, vlt findet ja doch noch einer etwas.

Habe von einem anderen PC aus aber schon einmal die wichtigsten PW geändert.

Danke erneut für Deine Unterstützung.

Ich melde mich vermutlich noch einmal...

LG Suzzi
 
Werbung:
Noch 3 Fragen.

1.) Ich benutze "RoboForm", können die Hacker die PW da auslesen?

2.) Ich habe WinXP SP2 und die interne FW, langt die aus?

3.) Welches Freeware AV Programm empfiehlst Du?
 
1.) Ich benutze "RoboForm", können die Hacker die PW da auslesen?
Zum Vergrößern anklicken....
Keine Ahnung, aber nichts ist unmöglich.
2.) Ich habe WinXP SP2 und die interne FW, langt die aus?
Zum Vergrößern anklicken....
Dein Fritz Modem oder router scheint da besser geeignet.


3.) Welches Freeware AV Programm empfiehlst Du?
Zum Vergrößern anklicken....
Keine Ahnung, nimm eins das kostenlos ist wie zum Beispiel Avira Antivir oder F-secur. Ich persönlich habe kein Antiverenprogramm laufen.
 
Danke für die Antworten.

Muss ich in meinem Router etwas Spezielles einstellen? Das ist kein FRITZ! Modem. Es ist eine Arcor Easy Box 600 WLAN. Hab nur den Ausgang durch Fritz Software überwacht.
 
Werbung:
Auf jeden Fall WPA2 wählen wenn du Wlan benutzt, besser ist aber immer ein Kabel vom Modem/Router zum Rechner.

Ansonsten kenne ich das Gerät nicht. Die grösste Sicherheitslücke bist du selbst. Alle Hinweise helfen nichts, wenn du dir einfach was aus dem Netz lädst und da Spionagesoftware drauf ist. Zudem gilt auch im Internet erst mal alles verbieten und sperren und dann nacheinander wieder zulassen, je nach Zweck.

Wenn du Java nicht brauchst, dann lösche es. Wenn du keine Videos anschaust brauchst du auch kein Flash usw.
du kannst auch 2 Browser verwenden. Einen mit flash einen ohne. Es gibt viele Möglichkeiten.
Es gilt wachsam zu sein.

Zum Beispiel dürfte Skype eigentlich gar nicht laufen wegen der Firewall und es geht dennoch. Da sieht man deutlich dass es 100% Sicherheit nicht gibt. Man kann alles umgehen.

Schau dir den Taskmanager an und merke dir die Programme die dort laufen. Schau da von Zeit zu Zeit mal rein und schaue ob da was im Hintergrund läuft was da nicht hingehört.

Eine Firewall und ein Virenscanner wiegen dich unter Umständen in Sicherheit die nicht vorhanden ist.

Benutze auch Open Source Programme wie Thunderbird statt Outlook für E-Mails und Libre Office statt Word usw.

Das kann man unendlich fortsetzen aber wenn du nicht wachsam bist und alles anklickst was blinkt und dir per E-Mail ins Haus wandert dann nützt auch die beste Firewall oder Virenscanner nichts.
 
Huhu,

erneut erst einmal Danke für Deine so ausführlichen Erklärungen, SUPI! :-)

Mein Router ist generell immer nur via Kabel direkt mit dem PC verbunden.

Ich verwende 3 verschiedene Browser, Firefox mit TOR oder JonDo. Opera 11.52 als auch parallel Opera 11.60 Portable, und super selten den IE 8,0.

Den Taskmanger hab ich ebenso immer im Auge wie alles was Autostartet, da ist somit nichts drin was da nicht auch reingehört.

Word benutze ich im Grunde nie, vlt. 1-2 mal im Jahr.

Mails empfange ich generell immer nur im *.txt Format mit TheBat!.

Demnach mache ich also ja gar nicht einmal allzuviel falsch, oder?

Ok, was ich jedoch bisweilen aus dem Netz lade sind irgendwelche Programme (z.B. Grafik Programme) und auch diverse Videos.


Habe in der Nacht den PC von einem weiteren Online Tool auf Viren, Ad & Spyware etc. scannen lassen. Das hat gute 6 Stunden gedauert, dass Ergebnis war "Es wurden keinerlei Schädlinge auf Ihrem System gefunden".


Eine weitere Frage hätte ich jetzt aber noch bezüglich der IP's ( in meinem aktuellen Fall halt zu: 193.107.16.78 ) und die von Malwarebytes geblockt werden. Wie kann ich rausbekommen welche Datei oder Anwendung auf meinem PC "konkret" solch einen Verbindungsversuch zu starten versucht? Wenn Malwarebytes erkennt, dass eine Verbindung aufzubauen versucht wird zu einer bestimmten IP, dann muss es doch ebenso auch wissen von welcher Datei/Anwendung dies ausgeht! Oder etwa nicht?

Im Taskmanger beispielsweise findet sich ja auch der "Name" der jeweiligen Datei/Anwendung (z.B. "Opera.exe" oder sonst was) und von der ein Prozess ausgeht.

In Malwarebytes hingegen kommt nur die Meldung "es wird versucht eine Verbindung aufzubauen zu einer schädlichen Seite mit der IP 193.107.16.78, deshalb wurde der Vorgang geblockt". Weitere, zusätzliche Infos gibt Malwarebytes aber dazu leider nicht aus.

Gibt es vlt. ein anderes Tool, eines das nicht allzuschwer verständlich ist, und welches mir mitteilen kann welche Datei/Anwendung konkret es ist die ständig versucht an 193.107.16.78 irgendetwas zu senden? Dann könnte ich diese Datei oder Anwendung entfernen.

LG Suzzi

P.S.:
bin mir noch nicht 100% sicher, aber so wie ich das sehe findet der Verbindungsversuch anscheinend nur immer dann statt wenn ich "Opera 11.52" benutze. Um vollkommen sicher zu sein teste ich dies aber noch ein Weilchen weiter.
 
Werbung:
193.107.16.78 resolves to "vps1130.2x4.ru"

Ich würde Windows neu aufsetzen, sollte man eh einmal pro Jahr machen.

Idealer Weise direkt nach der Installation des OS und aller wichtigen Treiber/Programme ein Backup-Image brennen, und wichtige Daten zukünftig auf einem externen Medium speichern.
 
Tronjer schrieb:
Ich würde Windows neu aufsetzen, sollte man eh einmal pro Jahr machen.
Zum Vergrößern anklicken....
So hatte ich zu windows95 Zeiten auch gedacht (und es praktiziert), aber bei mir läuft XP seit 2003 ohne Neuinstallation (seit einem Jahr ist es aber der 2. Rechner). Es geht also auch bei intensiver Nutzung.

Aber in dem Fall klingt das alles schon kritisch. Wobei die Domain nicht unseriös aussieht, die haben auch eine deutschsprachige Seite 2x4 Hosting Germany
 
Danke für eure Antworten.

Der Tipp "TCPView" hat mich draufgebracht, ich habe ja NetLimiter, damit kann ich auch die zugehörige Adresse zur IP sehen.

Jetzt muss ich nur noch wissen wie/womit ich rausfinden kann welche meiner Programmdateien die Verbindung zu der vps1130.2x4.ru Seite aufzubauen versucht ;-)

*EDIT
Wenn ich den Windows Task-Manager geöffnet lasse und ein Auge auf die Prozesse habe die in genau dem Augenblick angezeigt/ausgeführt werden wenn Malwarebytes gerade wieder diese IP zu der Russen Seite blockt, dann müsste dort doch das Programm drin auftauchen welches den Verbindungsaufbau versucht, oder irre ich? (Ok, ich ahne es, es gibt Viren etc. die sich in einem "anderen" und eigentlich ansonsten harmlosen Programm verstecken können!? In diesem Fall könnte das dann nur ein Scanner, wenn überhaupt, aufspüren. Richtig?)
 
Zuletzt bearbeitet:
Werbung:
Ich wollte grade mal einen Scan im "abgesicherten Modus" durchführen, nur klappt das leider nicht ~grml~

Ich habe es erst mit "BitDefender Rescue CD" probiert.
Unmittelbar nach dem Start kommt aber nur die folgende Meldung:
"Trying to mount partitions bla bla...."
"init: usplash main process killed by KILL signal"

Und das war es auch, danach passiert rein gar nichts mehr.
Gebe ich die Meldung "init: usplash main process killed by KILL signal" bei Goggle ein, kommen keinerlei Ergebnisse.

Dann habe ich "F-Secure Rescue-CD" geladen und ausprobiert.
Das Programm würde funktionieren, ABER da ist der Vollwitz dran, es benennt einfach "ungefragt" alle Dateien um die es im bloßen Verdacht hat das sie vlt. mit irgendwas infiziert sein könnten. Man kann dies auch in den Optionen nicht anders einstellen ~flucht~
Als erstes kommt eine Warnmeldung deswegen, dass wenn eine Windows Datei infiziert sein sollte, der PC anschließend NICHT mehr startet, wegen der Umbennung. Was soll denn der Quatsch frag ich mich. Ich könnte dem Progammierer stundenlang deswegen in den XXXXX treten... Oh man...

Zum Glück fing der bei mir mit der letzten Partition an und nicht auf C, ich konnte dadurch grade noch rechtzeitig ESC drücken, weil das Programm auch noch ungefragt wenn man nur sagt "Master Boot Record" überprüfen, einfach locker flockig danach weitermacht u. gleich die ganze Platte untersucht. Dabei benennt es ALLES um was NICHT infiziert ist, wie beispielsweise absolut harmlose Banner von DAP etc.. Da will ich erst gar nicht wissen was es in C gemacht hätte, wahrscheinlich alle Dateien im Windows Ordner mal rein obligatorisch umbennant, weil man ja nie wissen kann...

Menno, ich krieg die Krise.

Was mach ich denn jetzt?
 
Was mir einfällt. Du hast doch mit Windows die Möglichkeit einen Wiederherstellungspunkt anzuwählen und den Rechner dort hin zurück zu versetzen, hast du das mal versucht?
 
Werbung:
Sodele, habe herausgefunden warum Malewarebytes immer die IP 193.107.16.78 ("vps1130.2x4.ru") blockiert.

Das geschieht immer dann wenn ich irgendeinen Browser öffne, dann eine ganz bestimmte Forumseite damit aufrufe, dann erscheint da als erstes immer ein Werbebanner, noch bevor die Forumseite sich überhaupt richtig geöffnet hat. Malewarbytes stoppt nun jedes Mal genau dieses Banner mit dem Hinweis -> Meldung: ,,Zugang zu einer potenziell gefährlichen Website erfolgreich gestoppt." Das Banner auf der Seite wechselt jedoch häufig, deswegen passiert das Stoppen nicht ständig.

Es passiert nur bei folgendem Banner, übertitelt ist dieses mit: "Effektiv werben mit Sponsorads.de". Und von diesem Banner aus gelangt man dann wiederum auf unterschiedliche Seiten, u.a. auch auf:
hxxp://adserving.w2c.ru/dating/chat/800x440/spo.php
hxxp://adserving.w2c.ru/dating/chat/pop/spo.php

Ist da jetzt wirklich etwas gefährlich?


*EDIT
Ich habe in den letzten Tagen mein komplettes System mit folgenden Programmen gründlich scannen und checken lassen:

1.) Malwarebytes
2.) SpyBot - Search & Destroy
3.) HijackThis
4.) F-Secure ("Online" only! Funzt NICHT im "abgesicherter Modus")
5.) Norton Security Scan
6.) Bitdefender
7.) Panda Security
8.) SUPERAntiSpyware
9.) Spy Hunter 4
10.) Trend Micro HouseCall

Alle Tools sagen einheitlich -> "Ihr System ist Viren, Ad & Spyware etc. frei", nur Malwarbytes mukiert halt diese eine IP immer wieder.

*EDIT (2)

11.) Sophos Anti-Rootkit
12.) Radix Antirootkit

Beide Tools fanden ebenfalls nichts Verdächtiges.

13.) TCPView
14.) NetworkActiv PIAFCTM

Beide Tools zeigen keinerlei verdächtige Verbindungen an.
 
Zuletzt bearbeitet:
Wustersoss schrieb:
Die Ip gehört jemanden auf den Seychellen und die Spur führt nach Russland.

Demzufolge hast du auf jeden Fall Spyware oder ähnliches noch auf dem Rechner.
Wenn kein Tool anspringt sichere ohne Internet deine wichtigen Daten und nur reine Daten auf einen Stick und installiere dein Betriebssystem neu.

Keine Programme sichern.

Wenn du anschliessend dein Windows neu installiert hast, dann als erstes Firewall und Antivirus installieren.
Wenn du ins Internet geht solltest du das mit der neuesten Version von Firefox tun und am besten Noscript installieren.
E-Mails sollten nur im Textmodus angezeigt werden. Html-Mails sind grundsätzlich anfällig für alles Mögliche.

Edit:

Noch ein paar Tipps.
Wenn du in den letzten 14 Tagen Online-Banking benutzt hast kontrolliere dein Konto und sperre es für Auslandsüberweisungen oder noch besser wechsel dein Konto.
Verwende beim Online-Banking einen Cardreader, der hat die höchste Sicherheit im Moment. Wenn die Bank das nicht anbietet wechsel die Bank.

Ändere alle Passworte so schnell wie möglich. Sie sollten mindesten immer 10 Stellen haben.
Wenn du in sozialen Netzwerken bist gebe keine privaten Informationen über dich Preis, weder Alter noch Geschlecht noch wo du wohnst. Schalte alles auf engste Freunde, mache nichts öffentlich.
Checke in den Suchmaschinen deinen Namen und versuche keine weiteren Spuren zu hinterlassen.

Das ist keine Paranoia, sondern gesunder Menschenverstand.
Zum Vergrößern anklicken....
Muss ich das jetzt wirklich alles tun, nur wegen des einen immer mal wieder aufpoppenden Werbebanners? Das BS neu aufsetzen, Passwörter alle ändern, Auslandsüberweisungen sperren lassen bzw. das Konto wechseln?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Zurück
Oben