eventuell trojaner

[Haldir]

ich hab eine datei Namens rlvknlg.exe!

Ich hab mich schon nen bisskle im Internet umgeguckt konnte aber nichts 100% finden! Meine Firewall (Sygate Personal edition) fragt zwar jedes mal ob die datei eine Verbindung hesrtellen darf, scmiert davie immer ab!
hab schon versucht die datei manuell zu löschen! und über#s cmd auch! hat aber beides nicht fubktioniert! meine Firewall hat mir noch gemeldet das die datei eine verbinfung z folgender IP herstellen will: 209.247.230.166

Als ich das im IE als adresse angegeben habe sagte dieser ich hätte nicht die nötigen berechtigungen um die seite zu besuchen! aberes gibt anscheinend eine möglichkeit dieseseite zu öffnen! mit den richtigen berechtigungen!

zurest die frage! ist das ein Trojaner oder was ist das?

 

[loose]

Hallo,
ich habe mal ein bisschen gegoogelt. Dabei bin ich auf folgende Seite gestoßen:
http://www.siteadvisor.com/sites/download3000.com/downloads/3081029/
Da ist die Rede von "AresUltraSearch Pro". Vielleicht liegt es daran.
Laut der Seite ist es aber kein Trojaner.

 

[Valentin]

Original von Haldir
meine Firewall hat mir noch gemeldet das die datei eine verbinfung z folgender IP herstellen will: 209.247.230.166

Als ich das im IE als adresse angegeben habe sagte dieser ich hätte nicht die nötigen berechtigungen um die seite zu besuchen! aberes gibt anscheinend eine möglichkeit dieseseite zu öffnen! mit den richtigen berechtigungen!

zurest die frage! ist das ein Trojaner oder was ist das?

Also die Ip gehört zu proxycfg.netsetter.com. Die Domain gehört zu NETWORK SOLUTIONS, INC. und wird gehostet von COMSCORE.COM. Als ich die Seite proxycfg.netsetter.com besuchen wollte kam "Sorry can't allow you access today". Auf der Seite netsetter.com kam, dass sie nicht mehr unter dem Namen netsetter rumhantieren sondern sich zu Marketscore umbenannt haben. Und was Marketscore ist kannste unter Marketscore.com nachlesen ;-)

EDIT:: Das sieht auch interessant aus http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-spyware.marketscore.html

 

[bitmuncher]

Original von Valentin

Also die Ip gehört zu proxycfg.netsetter.com. Die Domain gehört zu NETWORK SOLUTIONS, INC. und wird gehostet von COMSCORE.COM.

Wie kommst du denn auf die Daten?

Domain:

bitmuncher@deepthought:~$ nslookup 209.247.230.166
Server:         145.253.2.75
Address:        145.253.2.75#53

Non-authoritative answer:
166.230.247.209.in-addr.arpa    canonical name = 166.163-191.230.247.209.in-addr.arpa.
166.163-191.230.247.209.in-addr.arpa    name = wwwc.or4.marketscore.com.

Authoritative answers can be found from:

Registrar:

Registrant:
MARKETSCORE INC
   11465 Sunset Hills Road, Suite 200
   Reston, VA 20190
   US

   Domain Name: MARKETSCORE.COM

   Administrative Contact, Technical Contact:
      Marketscore Inc           domain-admin@marketscore.com
      11465 Sunset Hills Rd Ste 200
      Reston, VA 20190
      US
      703-438-2339 fax: 609-228-2339


   Record expires on 03-May-2007.
   Record created on 18-Jul-2005.
   Database last updated on 14-Mar-2007 11:58:31 EDT.

   Domain servers in listed order:

   DNS01.IAD.COMSCORE.COM       66.119.41.13
   DNS01.ORD.COMSCORE.COM       4.79.208.231
   DNS02.IAD.COMSCORE.COM       66.119.41.25
   DNS02.ORD.COMSCORE.COM       4.79.208.232

Hoster:

bitmuncher@deepthought:~$ whois 209.247.230.166

OrgName:    Level 3 Communications, Inc.
OrgID:      LVLT
Address:    1025 Eldorado Blvd.
City:       Broomfield
StateProv:  CO
PostalCode: 80021
Country:    US

NetRange:   209.244.0.0 - 209.247.255.255
CIDR:       209.244.0.0/14
NetName:    LEVEL3-CIDR
NetHandle:  NET-209-244-0-0-1
Parent:     NET-209-0-0-0-0
NetType:    Direct Allocation
NameServer: NS1.LEVEL3.NET
NameServer: NS2.LEVEL3.NET
Comment:    ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate:    1998-05-22
Updated:    2001-05-30

RTechHandle: LC-ORG-ARIN
RTechName:   level Communications
RTechPhone:  +1-877-453-8353
RTechEmail:  ipaddressing@level3.com

OrgAbuseHandle: APL8-ARIN
OrgAbuseName:   Abuse POC LVLT
OrgAbusePhone:  +1-877-453-8353
OrgAbuseEmail:  abuse@level3.com

OrgTechHandle: ARINC4-ARIN
OrgTechName:   ARIN Contact
OrgTechPhone:  +1-800-436-8489
OrgTechEmail:  arin-contact@genuity.com

OrgTechHandle: TPL1-ARIN
OrgTechName:   Tech POC LVLT
OrgTechPhone:  +1-877-453-8353
OrgTechEmail:  ipaddressing@level3.com

# ARIN WHOIS database, last updated 2007-03-13 19:10

 

[Valentin]

IP bei Google eingegeben

 

[Haldir]

a ich das nicht löschen kann werd ic's erstmal versuchen mit reshack zu ändern! is nen versuch wert! konntes aber erstaml fixxen indem ich die Firewall geöffnet hab bevor das programm versuchte eine verbindung herzustellen und ihm dann den uigriff auf's netzt verweigert hab! Schon mal danke für eure Hilfe! wenn's dazu noch neues gibts oder wenns sich ganz erledigt haben sollte meld ich mich nochma!


[Edit]
hat mich einfach zu sehr genervt!

hab die datei umgeschreiben! prozess beendet und aus msconfig rasugesxchmissen! funzt alles bestens! Firewall funzt auch wieder!
[/Edit]