Thema: [OPERA 10] Telefoniert gerne ?

Ich habe Opera 10 zum 2. Mal frisch installiert.
Sobald ich eine Webseite aufrufe, verbindet sich Opera mit 5-6 wilden Seiten, mit denen ich nichts zu tun habe.

Der eine Rechner war definitiv infiziert, der wird plattgemacht, war aber nicht mit dem jetzigen Rechner verbunden.

Aber der Rechner jetzt, ist unauffällig und antivir läuft, aber Opera 10 telefoniert ohne mein zutun...

Könnt Ihr mal nachsehen, wo euer Opera 10 Browser hintelefoniert ?
Mir kommt das äusserst seltsam vor!

Gefunden habe ich diese Merkwürdigkeiten mit TCPVIEW.

Nur damit ich das richtig verstehe: Es öffnen sich nicht irgendwelche Seiten, sondern der Opera verbindet sich bei dir mit bestimmten Adressen ohne dass man davon etwas sieht?

Wird vermutlich mit irgendwelchen Zusatzfeatures zusammenhängen. Check auf neuste Updates, dann gab es darin ja irgendeine Mini-Webserver Geschichte, vielleicht noch neuste Blacklist laden um Werbung zu blocken - was auch immer. Als ungewöhnlich sehe ich das jetzt auf Anhieb jedenfalls nicht an. Aber wenn du magst kannst du hier ja mal die "Seiten" reinschreiben, zu denen sich dein Opera verbindet. (Hab bei mir keinen Opera drauf.)

Hi,

wenn das nicht zu lösen ist, tippe ich auf einen Schädling, der automatisch Internetseiten öffnet.

Poste doch bitte mal ein Logfile von HijackThis, wie das funktioniert, steht auf dieser Seite .

Es könnten neben den von Kelshan genannten Dingen aber auch so banale Sachen wie DNS-Server, bzw. Server von denen Werbung für die Seite nachgeladen wird, sein

Ich nutze Opera 10 und kann nicht bestätigen, dass Opera irgendwo hin-telefoniert.
Du solltest zur Sicherheit aller diese scheinbar böswilligen Seiten bei melden.

Dazu musst du folgendes tun:
Du drückst auf der Seite, die diese Pop-Ups verursacht die Tasten "Alt + Eingabetaste (Enter)".
Dann wählst du das entsprechende aus (eventuell auch "Schadprogramm")
und klickst auf "Site melden". Danach öffnet sich ein neues Fenster mit Netcraft-Inhalt.
Dort einfach alles lassen wie es ist, damit sie wissen, dass diese Meldung von Opera 10 kam, und auf "Report URL" gehen. Eventuell gehen Sie der Meldung nach.

Sonst gehe ich auch davon aus, dass es eventuell an einem Schad-Programm liegt.
Eventuell hilft es auch, wenn du mal alles löschst (nicht deinstallieren, dabei entfernt Opera nur das Programm selbst, nicht die Anwender-Daten)
Auf "Extras >> Internetspuren löschen... gehen. Dann auf "Individuelle Auswahl" und am besten mal alles löschen.

Falls es noch fragen gibt, kannst du dich an mich oder in dem deutschen Opera-Forum wenden/melden.
Deutsches Opera Forum


mfg

DD64

Ich nutze Opera 10 und kann nicht bestätigen, dass Opera irgendwo hin-telefoniert.
Du solltest zur Sicherheit aller diese scheinbar böswilligen Seiten bei melden.

Dazu musst du folgendes tun:
Du drückst auf der Seite, die diese Pop-Ups verursacht die Tasten "Alt + Eingabetaste (Enter)".
Dann wählst du das entsprechende aus (eventuell auch "Schadprogramm")
und klickst auf "Site melden". Danach öffnet sich ein neues Fenster mit Netcraft-Inhalt.
Dort einfach alles lassen wie es ist, damit sie wissen, dass diese Meldung von Opera 10 kam, und auf "Report URL" gehen. Eventuell gehen Sie der Meldung nach.

Sonst gehe ich auch davon aus, dass es eventuell an einem Schad-Programm liegt.
Eventuell hilft es auch, wenn du mal alles löschst (nicht deinstallieren, dabei entfernt Opera nur das Programm selbst, nicht die Anwender-Daten)
Auf "Extras >> Internetspuren löschen... gehen. Dann auf "Individuelle Auswahl" und am besten mal alles löschen.

Falls es noch fragen gibt, kannst du dich an mich oder in dem deutschen Opera-Forum wenden/melden.
Deutsches Opera Forum


mfg

Er hat aber keine Seiten auf die Opera sich hinverbindet, sondern sieht nur mit TCPView (einem Programm das alle Netzwerkverbindungen vom Rechner anzeigt) dass diese Verbindungen aufgebaut wurden. Wie gesagt, das ist eigentlich ganz normal, dass der Browser verschiedene Verbindungen zu verschiedenen Servern aufbaut.

@Coronadraht: Am besten poste mal einen Screenshot von TCPView, dann kann das ganze recht schnell geklärt werden

Danke Euch für die Zahlreichen Antworten

Die folgenden Adressen tauchen auf, sobald ich mit Opera eine Webseite öffne.

Sollte das wirklich ein Trojaner auf diesem Laptop sein, kann ich mein 2. Laptop auch plattmachen

Bei dem ersten Laptop habe ich Antivir, Kaspersky und Ad Aware laufen lassen, sämtliche Programme scheiterten - Antivir wurde sofort gekickt, Ad Aware wurde vor dem Scanstart beendet.
Kaspersky ist der Web und Mailguard kaputt.

Sollte das auf diesem Rechner auch der Fall sein, ist Ende im Gelände.

Ich kann jetzt nicht jedem antworten, ich muss meine Daten retten.

Aber Danke schonmal für die Tips


NACHTRAG: HijackThis logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:27:49, on 10.09.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\GEARSec.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINNT\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wza237\Tcpview.exe
C:\Programme\Opera\opera.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1217552724734
O17 - HKLM\System\CCS\Services\Tcpip\..\{08074965-2C0C-4250-A6B6-451CA9AA8BF2}: NameServer = [ZENSIERT]
O17 - HKLM\System\CS1\Services\Tcpip\..\{08074965-2C0C-4250-A6B6-451CA9AA8BF2}: NameServer = [ZENSIERT]
O17 - HKLM\System\CS2\Services\Tcpip\..\{08074965-2C0C-4250-A6B6-451CA9AA8BF2}: NameServer = [ZENSIERT]
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\System32\GEARSec.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Hi,

danke für das Lgfile, es sagt folgendes, Du mußt also selber wissen, ob Du diese Seiten kennst: (Es sollte Dein Provider oder Computerhersteller sein, sonst fixen):

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

Kennst Du diese Seiten? Wenn nicht, bitte auch diese Einträge fixen:

O17 - HKLM\System\CCS\Services\Tcpip\..\{08074965-2C0C-4250-A6B6-451CA9AA8BF2}: NameServer = [ZENSIERT]

O17 - HKLM\System\CS1\Services\Tcpip\..\{08074965-2C0C-4250-A6B6-451CA9AA8BF2}: NameServer = [ZENSIERT]

O17 - HKLM\System\CS2\Services\Tcpip\..\{08074965-2C0C-4250-A6B6-451CA9AA8BF2}: NameServer = [ZENSIERT]

Und Deine Version des IE ist alt, aber den nutzt Du ja nicht..

Um einen "Trojaner" in dem Sinne handelt es sich nicht, das Problem müßte so zu lösen sein. Keine Panik also, erst fixen, dann bitte ein neues Logfile posten, und sicher schaut noch einer da `rüber, der sich besser auskennt, als ich.

Der NameServer ist mein Router.
Start_Page_URL & Search__Page_URL = nichts ?

Was genau ist an diesen Einträgen ungewöhnlich ?

Bei den 017 - Einträgen sollte man die Einträge, von denen man die IPs nicht kennt, fixen, und bei Dir ist es "Zensiert", ich weiß so nicht, was das zu bedeuten hat, und woher diese Einträge kommen, das müßtest Du wissen, wenn nicht, löschen.

Coronadraht

Der NameServer ist mein Router.
Start_Page_URL & Search__Page_URL = nichts ?

Was genau ist an diesen Einträgen ungewöhnlich ?

An diesem Eintrag ist nichts ungewöhnlich, da es "leer" ist. Ob du es fixt oder nicht, wird wahrscheinlich nicht zu deiner Problemlösung beitragen.
Die Wirkung der Einträge ist gleich null, es bewirkt nur, dass es beim einem Zurücksetzen der Browsereigenschaften, die eingetragenen Start- und Suchseiten eingetragen werden. (Paradox )
In deinem Fall halt jeweils eine Leere .

Worry

Bei den 017 - Einträgen sollte man die Einträge, von denen man die IPs nicht kennt, fixen, und bei Dir ist es "Zensiert", ich weiß so nicht, was das zu bedeuten hat, und woher diese Einträge kommen, das müßtest Du wissen, wenn nicht, löschen.

Das hat er mit Sicherheit selbst hinzugefügt .

Das Problem ist laut Hijackthis wahrscheinlich nicht virulenter Natur. Eine "tiefere" Überprüfung der Systeminnereien halte ich daher nicht für notwendig (Rootkits, Backdoor). Es sei den, es wäre so gewünscht.

Edit: Ich kann dir Entwarnung geben, ich habe gerade eben Opera frisch installiert und überprüft, bei mir kommen auch diese "Adressen" zustande.



mfg
bLacK_dRaSanG

@Worry, danke für Deine Mühe. Es scheint ja bisher alles ok zu sein


@Black_Drasang:

Bingo. Der selbe Schmus wie bei mir.
Ich werde diese Telefonleitungen mal in die Hosts - Liste eintragen, und hoffentlich damit totlegen.

Es sieht danach aus, als würde mein Surfverhalten und meine besuchten Seiten abgekupfert zu werden, und dies bestätigt also auch meine Vermutung.

Danke, das ist wirklich hilfreich

---


Sollte jemandem noch etwas dazu einfallen, wie man in Opera direkt diese Seiten zukneift, oder andere Ideen, bitte ergänzen.

hm, also zumindest verisign und etrust würde ich nicht auf die Blackllist setzten, sonnst kannst du ziemlich viele verschlüsselte Seiten nicht mehr aufrufen

Ich werde schon beobachten, was ich totlege.
Aber wenn etwas nicht funzt, kann ich den Eintrag zur Not auch wieder aus der Hostliste rausnehmen.