yaemu.exe = hgqhp.exe = IP: 195.95.218.99

  • #1
B

BitBull

Mitglied
Themenersteller
Dabei seit
08.07.2005
Beiträge
7
Reaktionspunkte
0
Moin-Moin,

ich habe folgendes auf meinem Rechner (WIN98) bemerkt und dazu Fragen:

Zur Vorgeschichte:
Beim googlen nach neuen Schriftarten bin ich, wie immer  :mad:, auch auf unseriöse Sites gestoßen. Noch ehe ich es verhindern konnte, hatte ich eine exe (yaemu.exe) auf meinem Rechner. Diese exe wird beim Systemstart ausgeführt und versucht (dank ZoneAlarm vergebens) eine Verbindung zur IP: 195.95.218.99 aufzubauen. Erst wenn man die exe aus dem Systemstart entfernt und nach einem reboot löscht ist man sie los. Ich habe mal zum Testen die yaemu.exe gestartet und schwupps befand sich eine weitere exe (hgqhp.exe) im Systemordner und im Systemautostart. Das kuriose ist, dass die yaemu.exe verschwunden war (bzw aus der yaemu.exe die hgqhp.exe wurde). Deaktiviert man jetzt die hgqhp.exe im Systemautostart, rebootet und führt man die hgqhp.exe manuell aus, so verschwindet diese und die yaemu.exe befindet sich wieder im Systemordner und im Systemautostart.
Soviel Freude mit einer kleinen exe... aber wer verbirgt sich hinter der IP: 195.95.218.99 ???

Eine WHOIS Anfrage an bringt da was ans Licht... nur verstehen tu ich's nicht:
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
%
% for more details.
%
% Rights restricted by copyright.
% See

% Note: This output has been filtered.
%       To receive output for a database update, use the -B flag.

% Information related to->195.95.218.0 - 195.95.219.255'

inetnum:      195.95.218.0 - 195.95.219.255
netname:      EstHost
descr:        EstHost hosting company
descr:        Tartu Peapostkontor, pk. 12, Estonia
remarks:      -----------------------------------
remarks:      Abuse notifications to: [email protected]
remarks:      Network problems to: [email protected]
remarks:      Peering requests to: [email protected]
remarks:      -----------------------------------
country:      EE
org:          ORG-EST1-RIPE
admin-c:      DE475-RIPE
tech-c:       VT587-RIPE
status:       ASSIGNED PI
mnt-by:       RIPE-NCC-HM-PI-MNT
mnt-lower:    RIPE-NCC-HM-PI-MNT
mnt-by:       RECIT-MNT
mnt-domains:  RECIT-MNT
mnt-domains:  DAV-MNT
mnt-domains:  ESTPAK-MNT
mnt-routes:   ESTPAK-MNT
source:       RIPE # Filtered

organisation: ORG-EST1-RIPE
org-name:     EstHost hosting company
org-type:     NON-REGISTRY
remarks:      *************************************
remarks:      * Abuse contacts: [email protected] *
remarks:      *************************************
address:      Esthost
address:      Tartu Peapostkontor, pk. 12
address:      50001 Tartu, Estonia
phone:        +372 55647646
e-mail:       [email protected]
admin-c:      DE475-RIPE
tech-c:       VT587-RIPE
ref-nfy:      [email protected]
ref-nfy:      [email protected]
mnt-ref:      DAV-MNT
mnt-by:       DAV-MNT
source:       RIPE # Filtered

person:       Dmitri Egorov
address:      Tartu Peapostkontor, pk. 12
address:      50001 Tartu, Estonia
phone:        +372 55647646
nic-hdl:      DE475-RIPE
source:       RIPE # Filtered

person:       Vladimir Tsastsin
address:      Tartu Peapostkontor, pk. 12
address:      50001 Tartu, Estonia
phone:        +372 55647646
nic-hdl:      VT587-RIPE
source:       RIPE # Filtered
Zum Vergrößern anklicken....

Ausser das die IP in Estonia vergeben wurde verstehe ich darunter nix. Da lob ich mir DENIC  ;)

Thx BitBull
 
  • #2
die frage ist: was willst du verstehn? steht doch alles drin, auch wenn es in englisch ist, sollte man sich einiges zusammenreimen können. die ip gehört einem estnischen webhoster ():

inetnum: 195.95.218.0 - 195.95.219.255
netname: EstHost
descr: EstHost hosting company
descr: Tartu Peapostkontor, pk. 12, Estonia

das ist die adresse unter der der hoster firmiert

address: Esthost
address: Tartu Peapostkontor, pk. 12
address: 50001 Tartu, Estonia
phone: +372 55647646

und das sind die beiden domain-eigner

person: Dmitri Egorov
address: Tartu Peapostkontor, pk. 12
address: 50001 Tartu, Estonia
phone: +372 55647646
nic-hdl: DE475-RIPE
source: RIPE # Filtered

person: Vladimir Tsastsin
address: Tartu Peapostkontor, pk. 12
address: 50001 Tartu, Estonia
phone: +372 55647646
nic-hdl: VT587-RIPE
source: RIPE # Filtered

das ganze sieht gut und professionell aus. wenn du willst, kannst du denen eine mail schicken und denen melden, daß von einem ihrer kunden unseriöse angebote übers internet verbreitet werden mail-adresse [email protected]). vielleicht werden sie ja gegen denjenigen aktiv ...

greetz

hugo
 
  • #3
@hp:
Moin-Moin,

ich danke Dir für die Antwort und werde mal eine E-Mail mit besonderem Anhang an [email protected] schicken. Ob sie dagegen was tun, bezweifel ich, da ja nicht bewiesen ist das die .218.99 der Bösewicht ist und ich auch nicht weiß was diese exe eigentlich macht, ausser nach Hause telefonieren und das tun die meisten Programme, natürlich nur um nach updates ausschau zu halten *g*.
Eine möglichekit ist, dass sie die Server nach dieser exe scannen und evtl. löschen bzw die Personen anschreiben. Es können ja nicht viele sein max. 512  ;).

Danke nochmals und'n schönen Sonntach

Thx BitBull
 
  • #4
  • #5
Moin-Moin,

ich danke Dir für die Mühe. Ich habe inzwischen ein Systemimage zurückgespielt (kann ich jedem nur wärmstens empfehlen), somit ist der Rechner 100% Bakterienfrei.

Mann liest sich, thx BitBull
 
  • #6
Hallo Bit Bull, das Problem mit diesen beiden Dateien habe ich auch. Ich hatte die beiden Dateien in den Eigenschaften so geändert (Befehlszeile löschen, Häkchen bei Schnelles einfügen raus), das daraus praktisch DOS-Dateien wurden. Beim nächsten Start konnte ich sie dann löschen; sie kamen aber wieder. Was heißt bitte im Systemstart löschen? Wo ist das? Wie kann ich eine Datei die gerade benutzt wird in Windows/System löschen? Kannstdu mir da helfen? Bitte antworte an die E-Mail-Adresse oben. Danke!!
 
  • #8
Moin Moin,

bei WINDOOFS 98,98SE und ME gehts Du über
Start -Ausführen - msconfig - OK - Reiter AUTOSTART
Zum Vergrößern anklicken....
...und nimmst das Häkchen bei den Programmen raus die nicht gestartet werden sollen.

Um bei WIN2K an die Autostartinformationen zu kommen nimmst du entweder AIDA32 oder gehst auf:
START-> AUSFÜHREN: compmgmt.msc

Den Eintrag in der Regestry findest Du unter:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Den kannst Du dann bedenkenlos löschen. Rechner neu starten und sehen was passiert. Es würd' mich ned wundern wenn dat Ding->nen neuen Namen angenommen hat.

Allerdings solltest Du auf den Rat von HP hören.


Ich bin gerade dabei mit Virtual-PC unter einem laufenden WINDOOFS OS noch LINUX zu installieren. So kann man unter LINUX im web browsen und unter WIN daddeln... wer hat da noch Angst vor Trojs und Hijs  ;).


Ich muss jetzt wieder was tun, man liest sich.
 
  • #9
Ich bin gerade dabei mit Virtual-PC unter einem laufenden *Windows* OS noch LINUX zu installieren. So kann man unter LINUX im web browsen und unter WIN daddeln... wer hat da noch Angst vor Trojs und Hijs Wink.
Zum Vergrößern anklicken....

Ähm.. wer hat Dir denn erzählt, dass Du jetzt besser dran bist als vorher ?? *kopfkratz.... Es ist ja in Ordnung, dass Du Dich besser fühlst. Aber sicherer ist das nicht wirklich... die Gründe liegen auf der Hand.
 
  • #10
Moin-Moin,

Es ist nicht wirklich sicherer? Stimmt... solange irgendwo MS/OS drauf ist, ist man vor nix sicher... Danke auch dass ich mich besser fühlen kann und der Grund liegt wirklich IMo auf der Hand, in Form einer Käsestulle.

Ich kann ja jetzt auch erzählen, wie blöde ich WINXP finde, aber wen interessiert das?

MfG BitBull

p.s. THEMA IST ERLEDIGT!
 
Thema:

yaemu.exe = hgqhp.exe = IP: 195.95.218.99

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.965
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben