yaemu.exe = hgqhp.exe = IP: 195.95.218.99

Dieses Thema yaemu.exe = hgqhp.exe = IP: 195.95.218.99 im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von BitBull, 8. Juli 2005.

Thema: yaemu.exe = hgqhp.exe = IP: 195.95.218.99 Moin-Moin, ich habe folgendes auf meinem Rechner (WIN98) bemerkt und dazu Fragen: Zur Vorgeschichte: Beim googlen...

  1. Moin-Moin,

    ich habe folgendes auf meinem Rechner (WIN98) bemerkt und dazu Fragen:

    Zur Vorgeschichte:
    Beim googlen nach neuen Schriftarten bin ich, wie immer  :mad:, auch auf unseriöse Sites gestoßen. Noch ehe ich es verhindern konnte, hatte ich eine exe (yaemu.exe) auf meinem Rechner. Diese exe wird beim Systemstart ausgeführt und versucht (dank ZoneAlarm vergebens) eine Verbindung zur IP: 195.95.218.99 aufzubauen. Erst wenn man die exe aus dem Systemstart entfernt und nach einem reboot löscht ist man sie los. Ich habe mal zum Testen die yaemu.exe gestartet und schwupps befand sich eine weitere exe (hgqhp.exe) im Systemordner und im Systemautostart. Das kuriose ist, dass die yaemu.exe verschwunden war (bzw aus der yaemu.exe die hgqhp.exe wurde). Deaktiviert man jetzt die hgqhp.exe im Systemautostart, rebootet und führt man die hgqhp.exe manuell aus, so verschwindet diese und die yaemu.exe befindet sich wieder im Systemordner und im Systemautostart.
    Soviel Freude mit einer kleinen exe... aber wer verbirgt sich hinter der IP: 195.95.218.99 ???

    Eine WHOIS Anfrage an www.ripe.net bringt da was ans Licht... nur verstehen tu ich's nicht:
    Ausser das die IP in Estonia vergeben wurde verstehe ich darunter nix. Da lob ich mir DENIC  ;)

    Thx BitBull
     
  2. hp
    hp
    die frage ist: was willst du verstehn? steht doch alles drin, auch wenn es in englisch ist, sollte man sich einiges zusammenreimen können. die ip gehört einem estnischen webhoster (www.esthost.com):

    inetnum: 195.95.218.0 - 195.95.219.255
    netname: EstHost
    descr: EstHost hosting company
    descr: Tartu Peapostkontor, pk. 12, Estonia

    das ist die adresse unter der der hoster firmiert

    address: Esthost
    address: Tartu Peapostkontor, pk. 12
    address: 50001 Tartu, Estonia
    phone: +372 55647646

    und das sind die beiden domain-eigner

    person: Dmitri Egorov
    address: Tartu Peapostkontor, pk. 12
    address: 50001 Tartu, Estonia
    phone: +372 55647646
    nic-hdl: DE475-RIPE
    source: RIPE # Filtered

    person: Vladimir Tsastsin
    address: Tartu Peapostkontor, pk. 12
    address: 50001 Tartu, Estonia
    phone: +372 55647646
    nic-hdl: VT587-RIPE
    source: RIPE # Filtered

    das ganze sieht gut und professionell aus. wenn du willst, kannst du denen eine mail schicken und denen melden, daß von einem ihrer kunden unseriöse angebote übers internet verbreitet werden mail-adresse abuse@esthost.com). vielleicht werden sie ja gegen denjenigen aktiv ...

    greetz

    hugo
     
  3. @hp:
    Moin-Moin,

    ich danke Dir für die Antwort und werde mal eine E-Mail mit besonderem Anhang an abuse@esthost.com schicken. Ob sie dagegen was tun, bezweifel ich, da ja nicht bewiesen ist das die .218.99 der Bösewicht ist und ich auch nicht weiß was diese exe eigentlich macht, ausser nach Hause telefonieren und das tun die meisten Programme, natürlich nur um nach updates ausschau zu halten *g*.
    Eine möglichekit ist, dass sie die Server nach dieser exe scannen und evtl. löschen bzw die Personen anschreiben. Es können ja nicht viele sein max. 512  ;).

    Danke nochmals und'n schönen Sonntach

    Thx BitBull
     
  4. hp
    hp
  5. Moin-Moin,

    ich danke Dir für die Mühe. Ich habe inzwischen ein Systemimage zurückgespielt (kann ich jedem nur wärmstens empfehlen), somit ist der Rechner 100% Bakterienfrei.

    Mann liest sich, thx BitBull
     
  6. Hallo Bit Bull, das Problem mit diesen beiden Dateien habe ich auch. Ich hatte die beiden Dateien in den Eigenschaften so geändert (Befehlszeile löschen, Häkchen bei Schnelles einfügen raus), das daraus praktisch DOS-Dateien wurden. Beim nächsten Start konnte ich sie dann löschen; sie kamen aber wieder. Was heißt bitte im Systemstart löschen? Wo ist das? Wie kann ich eine Datei die gerade benutzt wird in Windows/System löschen? Kannstdu mir da helfen? Bitte antworte an die E-Mail-Adresse oben. Danke!!
     
  7. Start -Ausführen - msconfig - OK - Reiter Systemstart

    Trojan.Win32.DNSChanger.r (hgqhp.exe/yaemu.exe):
    http://www.wintotal.de/Spyware/index.php?Filter=H#Spyware4917

    pan_fee
     
  8. Moin Moin,

    bei WINDOOFS 98,98SE und ME gehts Du über
    ...und nimmst das Häkchen bei den Programmen raus die nicht gestartet werden sollen.

    Um bei WIN2K an die Autostartinformationen zu kommen nimmst du entweder AIDA32 oder gehst auf:
    START-> AUSFÜHREN: compmgmt.msc

    Den Eintrag in der Regestry findest Du unter:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    Den kannst Du dann bedenkenlos löschen. Rechner neu starten und sehen was passiert. Es würd' mich ned wundern wenn dat Ding->nen neuen Namen angenommen hat.

    Allerdings solltest Du auf den Rat von HP hören.


    Ich bin gerade dabei mit Virtual-PC unter einem laufenden WINDOOFS OS noch LINUX zu installieren. So kann man unter LINUX im web browsen und unter WIN daddeln... wer hat da noch Angst vor Trojs und Hijs  ;).


    Ich muss jetzt wieder was tun, man liest sich.
     
  9. Ähm.. wer hat Dir denn erzählt, dass Du jetzt besser dran bist als vorher ?? *kopfkratz.... Es ist ja in Ordnung, dass Du Dich besser fühlst. Aber sicherer ist das nicht wirklich... die Gründe liegen auf der Hand.
     
  10. Moin-Moin,

    Es ist nicht wirklich sicherer? Stimmt... solange irgendwo MS/OS drauf ist, ist man vor nix sicher... Danke auch dass ich mich besser fühlen kann und der Grund liegt wirklich IMo auf der Hand, in Form einer Käsestulle.

    Ich kann ja jetzt auch erzählen, wie blöde ich WINXP finde, aber wen interessiert das?

    MfG BitBull

    p.s. THEMA IST ERLEDIGT!