ärger mit MS DFÜ-Verbindung!bitte umHilfe!Virus?


Seite 1 von 1
Neuester Beitrag: 02.08.01 23:57
Eröffnet am:01.08.01 12:00von: schleimerAnzahl Beiträge:16
Neuester Beitrag:02.08.01 23:57von: ElanLeser gesamt:3.543
Forum:Börse Leser heute:4
Bewertet mit:


 

878 Postings, 8640 Tage schleimerärger mit MS DFÜ-Verbindung!bitte umHilfe!Virus?

 
  
    #1
01.08.01 12:00
Auf einem meiner rechner(nicht im netzwerk , win98) meldet sich nach einiger zeit immer wieder von alleine die DFÜ-Verbindung und bittet um Kennwort zur internet einwahl. Da ich nicht will, klicke ich mit X weg ! denkste kommt wieder, sofort, drei mal und dann nach 10 sec, noch drei mal. danach dann erst ca 10 minuten später wieder das gleiche .
wenn ich mich einwähle geht alles ganz normal... nur das ich nicht weitere internet explorer fenster öffnen kann(geht nur mit strg N) aber nicht mit dem button in der fuß leiste.
Des weiteren kann ich bei eingewähltem zustand ohne ein fenster offen zu haben im sekunden takt sehen das ständig daten austausch statt findet.
außerdem habe ich seit gestern eine datei in  Windows/system die sich dnet.exe nennt und dnet.ini die ich unter win 98 nicht löschen kann und nach löschen unter DOS auch nach neu start des PCs wieder da ist.

Weiß jemand was das für eine datei ist und ob sie was mit dem DFÜ problem zusammen hängen kann? oder was ist mit der DFÜ zu machen?
MfG
 

137 Postings, 8803 Tage RedSand...

 
  
    #2
01.08.01 12:04
schau mal im Task-Manager nach (gibts den überhaupt bei W98 ? - mit Strg+Alt+Entf ?) und schau nach, ob ein Task läuft, der dnet o.ä. heisst.
Ich kenne zwar dnet.exe nicht, wenn du aber dnet.ini nicht löschen kannst, scheint da im hintergrund ein programm zu laufen, welches dnet.ini benötigt.

hast du auch schonmal bei "Autostart" nachgeschaut, ob da evtl dnet.exe gestartet wird ?  

42940 Postings, 8648 Tage Dr.UdoBroemme...

 
  
    #3
01.08.01 12:09





                                                                                               

   

                                RC 5-64 Um was gehts hier überhaupt ?

 Die Firma RSA, Anbieter von Verschlüsselungsprodukten, schreibt regelmässig Wettbewerbe mit einem Preisgeld von $10.000
 aus, bei denen die Teilnehmer aufgefordert werden, eine verschlüsselte Nachricht zu entschlüsseln. Ziel der Aktion ist es, die
 US-amerikanische Regierung davon zu Überzeugen, dass die Verschlüsselungsprodukte, deren Export sie erlaubt, zu unsicher
 sind. Dadurch soll erreicht werden, dass der Export starker - also weder von Privatpersonen, noch von Firmen, kriminellen
 Organisationen oder Geheimdiensten zu brechender - Verschlüsselung erlaubt wird. Die Teilnahme an einem solchen Wettbewerb
 ist nicht ungesetzlich, da die Nachricht ausschliesslich für den Zweck dieses Wettbewerbes verschlüsselt wurde.

 Destributed.net hat sich 1997 der Aufgabe gestellt und bildet mit seinem Proxy Netzwerk von mehreren 100 000 Rechnern
 (Mitgliedern) einen Supercomputer der in der Lage ist auch den neuen RC 64 Bit mittels Brute Force (Probieren jeglicher
 Kombinationen) zu knacken. Es gibt übrigens 18446744073709551616 mögliche Kombinationen (Schlüssel).

 Um an dem Wettbewerb teilzunehmen, benötigt Ihr lediglich einen Clienten den Ihr hier downloaden könnt. Abgesehen von dem
 Preisgeld wird es von cpu.at auch noch eine Verlosung unter allen angemeldeten aktiven Mitgliedern geben.

 Der Client beeinträchtigt Dein System nicht und läuft unauffällig in der Taskleiste mit. Er benutzt nur die Idle Time Deiner CPU.
 Wenn Du das Programm auf einem Firmennetzwerk installieren möchtest, frage bitte zuerst Deinen Systemadministrator.

 

 Seid Ihr bereit beim RC 5 Cracking Austria Team mitzumachen ?

 Wenn ja dann gibt´s hier ne Schritt für Schritt Anleitung wie der Client konfiguriert wird :

 1.) Herunterladen des Clienten

 2.) Konfiguration des Clienten

 Nach Installation und Aufruf des Clienten (dnet.exe) kommt Ihr automatisch ins Hauptmenü.
 Dort angekommen wählt Ihr Punkt 1 General Client Options



 Im Untermenü dann nochmals die 1 Your email address (distributed.net ID) klicken und dann gebt Ihr
 eure gültige Email Adresse ein und bestätigt mit Return.



 Jetzt kommt der wichtigste Teil damit Ihr auch dem richtigen Verschlüsselungsverfahren rechnet.
 Wieder mit 0 Return to main menu im Hauptmenü angekommen wählst Du nun 2 Buffer and Buffer Update Options
 und dann die 9 Load-work precedence .



 Der Wert New Setting muß dann genau so angepasst werden : RC5 , CSC=0 , OGR=0 , DES =0
 Mit Return und 0 kann Du das Hauptmenü wieder erreichen.



 Wenn Du eine permante Verbindung sprich LAN o.ä. besitzt kann der folgende Punkt übersprungen werden,
 da hier eingestellt werden kann für wieviel Stunden sich der Client Packete holen soll, damit man die
 offline rechnen und bei INET Verbindung übertragen kann.
 In dieses Menü kommt Ihr mit 2 Buffer and Buffer Update Options dann 14 Fetch time threshold (in Hours).
 Nun liegt es an euch für wieviele Stunden Ihr euch Arbeit holen wollt :)
 Ihr gebt einfach nach RC5=xxx, die Anzahl der Stunden ein (max 14 Tage)



 Nun zurück ins Haupmenü und mit 0 Save settings and exit schließt sich der Client und legt sich
 in die Taskleiste. Nun ist euer Client richtig konfiguriert. Zum Vergleich : So wie auf dem Bild unten
 sollte euer Client dann auch aussehen und RC5 Packete rechnen.



 3.) Wie werde ich nun Mitglied im CRACKING AUSTRIA Team:

 Ca. 24 Stunden nachdem Du dein erstes Packet fertiggestellt und an den Server gesandt hast
 wirst du von distributed.net automatisch registriert und kannst Dir auf der Statistikseite dein Passwort abholen.
 Zu diesem Zweck gibts Du oben Deine Email Addy ein und drückst auf Search.
 Nun siehst Du Deinen Account und kannst Dir unten Dein Passwort zumailen lassen.

 4.) Joinen ins Team

 Jetzt klickst Du auf diesen LINK und gibst deine ID (Mail-Addy) und Dein Passwort ein und bestätigst.
 Herzlich willkommen beim warscheinlich größten Team Österreichs CRACKING AUSTRIA
 Nun kannst Du mir Deinen NICK und Deine CPU-Config (z.B.PIII 800@1033) mailen die ich
 dann so schnell als möglich in die Memberlist eintrage.

 5.) Sonstiges

 Solltest Du Deinen Clienten auf mehreren Computer installieren wollen so genügt nur
 eine Kopie des Clienten mit Deiner ID (Mail Addy) auf dem zweiten Rechner. Ab in den Autostart
 Ordner und auch diese Packete werden zu Deinem Account dazugezählt.

 Erklärung der Client Kurz Befehle (mit rechter Maustaste)

 Flush Work = Daten an Server schicken (nicht vergessen:)) Der Client macht das übrigens auch automatisch
 wenn alle Workunits abgearbeitet wurden.
 Fetch Work = Daten vom Server holen (gemäß Deiner eingestellten Stunden)
 configure = Hauptmenü zum Verändern der Einstellungen

 Nun wünsch ich euch viel Spaß und viel Erfolg beim CRACKING AUSTRIA Team.

 Abschließend noch wichtige Statistik Urls:

 Unsere Team Statistikseite mit allen Mitgliedern

 Die "kleine" Statistikseite mit eurer Rechnerkonfiguration

 So steht unser Team momentan in der Wertung

 So schnell rechnet eure CPU in etwa

 Ein Keyrate Rechner zum Ausrechnen der Geschwindigkeit

 Teamsupport:

 Gary

 RC5 Forum bei www.overclockers.at

             RC5 CRACKING AUSTRIA ist ein gemeinsames Projekt von Tweak Factory und o.v.e.r.clockers.at

                                    Alle Inhalte © 2001 Tweakfactory





<img  

136 Postings, 8573 Tage NickLeesonM$...

 
  
    #4
01.08.01 12:10
Dnet.exe/ini kenne ich ebenfalls nicht, läuft auf meinem
w98-system nicht; auch als Datei nicht vorhanden.

Hast Du evtl. Shareware/Adware installiert?? Diese Progs
sind zwar "kostenlos", manche laden aber im Hintergrund
Werbebanner und nerven den User....um das herauszufinden
gibts ein Prog, nennt sich "Ad-Aware". Version 4.6 ist glaube
ich aktuell, weiss aber grad die URL nich...einfach mal
im Inet gucken.

Hast Du die Platte schonmal mit Fprot oder AVP o.ä. Anti-
virenprogs gescannt? Wenn nein, dies schleunigst nach-
holen.

Oder mal den regedit.exe starten und nach dem String "dnet"
suchen.

Grüsse,

nl  

878 Postings, 8640 Tage schleimerhabe ich

 
  
    #5
01.08.01 12:10
in autostart steht zwar was (auch neu und nicht von mir) ist aber irgend was von Matrox (meiner grafik karte) habe ich auch schon mal gelöscht und ist wieder da

bei strg alt entf  ist nur   Explorer Pdesk Systray Rnaap und das soll wohl ok sein

MfG  

136 Postings, 8573 Tage NickLeesonmatrox

 
  
    #6
01.08.01 12:15
Das Matrox-Prog in autostart ist vermutlich der Matrox
Quick Desk. Mit dem kann man die Auflösung u.a. recht schnell ändern etc. An diesem Prog liegts aber auf jeden
Fall nicht (überträgt keine Daten usw.).

explorer und systray sind OS-Tasks, pdesk ist der PowerDesk-
Task von der Matrox-Card, Rnaapp ist das DFÜ-Netzwerkprg.

Grüsse,

nl  

878 Postings, 8640 Tage schleimerschon mal vielen D A N K fürs schnelle eingreifen!

 
  
    #7
01.08.01 12:43
echt klasse !ich freue mich sehr.

ABER leider ist das problem noch da !!:-(

Die Datei heißt  dnetc.exe  und  dnetc.ini

ich konnte diese exe datei einmal doppel klicken und konnte da auch was lesen
von dem was  Dr.UdoBroemme  geschrieben hat nämlich dieser name Destributed.net stand da und noch ein paar email adressen von denen oder so ..
also ist wohl sehr klar das diese datei von diesen Destributed ist
schon mal nicht schlecht Herr Dr. ;-) echt cool

@NickLeeson  ihc habe in dieser regedit gesucht und gefunden und gelöscht neu gestartet und.... immer noch da und die DFÜ -Verbindung kommt auch immer noch.

Ach ja herr Dr.UdoBroemme  warum ist von denen denn alles im hintergrund und warum habe ich den kram bekommen ohne was dvon zuwissen und warum schreiben die nicht wies wieder ´weg geht?

ich habe nichts von share ware oder so instaliert
MfG  

5241 Postings, 8808 Tage Nobody IIIch denke

 
  
    #8
01.08.01 12:55
du hast irgendein Programm installiert, welches irgendwelche Daten aus dem Netz abrufen will.

Da du vermutlich die DFÜ-Verbindung als Standardinternetzugang hast, versucht das Programm sich einzuwählen.

Was ist zu tun :

Überlege, was du als letztes installiert hast !

Kann es ein Softwareupdate sein ? (ähnlich Norton Antivirus nur halt nicht ganz
so offensichtlich)

Es könnte auch ein Virus sein !


Gruß
Nobody II  

2184 Postings, 8592 Tage boomerHi, schleimer,

 
  
    #9
01.08.01 13:04

168 Postings, 8661 Tage Texas_Blue@all @Nickleeson

 
  
    #10
01.08.01 13:11
Die neuetse Version von Adaware ist 5.5

Due URL lautet:

http://www.lavasoftusa.com/

Ich bij seit längerer Zeit ein Fan von diesem Programm, erkennt wirklich alle Spywares: Von WEB3000 bis Aureate alles...kaum zu fassen wieviele Proggis und schlecjte Cookies sich in einer Surftour ansammeln können. Mein Rekord waren 42 Proggis in nur einer Sitzung...ca. 3 Stunden.

TB  

136 Postings, 8573 Tage NickLeeson@schleimer

 
  
    #11
01.08.01 13:23
das habe ich gerade auf der avp-website ( www.avp.ch)
gefunden:

Worm.RC5.a


aka Worm.Bymer.a

This program is a PE EXE worm (Win32 application). It infects Win9x machines with open file
shares. This worm propagates by randomly selecting an arbitrary IP address and attempting to
connect to the "C" file share on that machine. If it is successful in accessing that share, it will
copy several files into the remote machine's "\WINDOWS\SYSTEM\" directories:

 WININIT.EXE ~22016 bytes (body of worm)
 DNETC.EXE 186188 bytes (RC5 client)
 DNETC.INI (INI-file of DNETC.EXE)

Additionally, as a part of the infection, the following line may be added to the remote
computer's \WINDOWS\WIN.INI file:

 [windows]
 load=C:\WINDOWS\SYSTEM\WININIT.EXE

After rebooting victim computer WININIT.EXE executes DNETC.EXE in hidden mode and
continues infecting other computers.

und


Worm.RC5.B

aka Worm.Bymer.b

This program is a PE EXE worm (Win32 application). It infects Win9x machines with open file
shares. This worm propagates by randomly selecting an arbitrary IP address and attempting to
connect to the "C" file share on that machine. If it is successful in accessing that share, it will
copy several files into the remote machine's "\WINDOWS\Start Menu\Programs\StartUp\" and
"\WINDOWS\SYSTEM\" directories:

 MSxxx.EXE ~22016 bytes (size and filename varies slightly)
 MSCLIENT.EXE 4096 bytes
 INFO.DLL (text file log of other infected computers)
 DNETC.EXE 186188 bytes (RC5 client)
 DNETC.INI (containing the email address bymer@inec.kiev.ua)

Additionally, as a part of the infection, the following line may be added to the remote
computer's \WINDOWS\WIN.INI file:

 [windows]
 load=c:\windows\system\msxxx.exe

Once either of the first two EXEs have executed once, under the registry key, the following
registry value may be added:

 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
 MSINIT=c:\windows\system\msxxx.exe (filename varies)

The filename MSxxx.EXE varies.

Since the worm also executes "dnetc.exe -hide -install", there will also be the addition of
another registry value to automatically start the client as well.


Das beste wird sein, Du lädst den AVP Lite bzw. eine
evaluation version von www.avp.ch herunter und scannst
Deine Maschine damit erstmal auf Virii, Trojans & Co!!!
Der Scanner wird dann wahrscheinlich den Worm.RC5a oder b
finden und ihn dann nach Nachfrage cleanen (falls es kein
intelligenter Stealth-Virus ist; manche Antivirenprogs
erkennen diese dann nicht).

Good Luck!

Grüsse,

nl


 

2184 Postings, 8592 Tage boomerNorton müßte diesen Virus auch erfassen:

 
  
    #12
01.08.01 13:42
Bei symantec steht ua.:


This variant of VBS.Network places the following two files in the C:\Windows folder:

Dnetc.exe
Dnetc.ini

These are modified versions of the distributed.net program. The presence of these files alone is not an indication of infection. These files can legitimately reside on the computer without having been placed there by VBS.Network.C. In addition, the Network.vbs file may be copied to one or more locations, including the root folder, \Windows, \Windows\System, and \Windows\Start Menu\Programs\StartUp.

For additional information on distributed.net, the legitimate program that has been illegally altered to do this, see the document What is distributed.net

http://www.symantec.com/avcenter/venc/data/vbs.network.c.html
 

2184 Postings, 8592 Tage boomerÄltere Norton-Versionen tun es auch:

 
  
    #13
01.08.01 13:51
Run LiveUpdate
If you have not already done so, then run LiveUpdate to make sure that you have the most recent definitions.

Virus definitions dated October 10, 2000 or later will detect the Trojan that causes this problem. It is detected as Dnet.Dropper.

Näheres:
http://service1.symantec.com/SUPPORT/nav.nsf/docid/2000100414232506
 

878 Postings, 8640 Tage schleimerEcht KLASSE D A N K E

 
  
    #14
1
01.08.01 13:55
Wird wohl so sein , und ich dachte immer sowas bekomme ich nie!

Also ich werde mal diese scans machen bzw werde ich besser auf meinen kleinen bruder warten der kann das besser .

Habt vielen dank für eure mühe und eure zeit!!
melde mich heute abend zum ergebnis der aktion

Tschau bis dann :-))))

grüne für alle !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!  

878 Postings, 8640 Tage schleimerSoooooo Da ist das Ergebnis!

 
  
    #15
02.08.01 03:26
Mein kleiner super bruder hat mit NortenAntiVirus2000 die ausgebaute festplatte(die mit den problemen) auf einem dritten rechner getestet oder gescannt.

Und nun haltet euch fest! 136 infizierte dateien und zwei viren - w32.hll.bymer und -w32.kriz wurden gefunden und repariert,bis auf eine datei die von kriz beeinflußt wurde und das war auch gleich die wininit die auch nicht repariert werden konnte.(haben wir dann neu kopiert )
Zum schluß hat mein kleiner super bruder noch den kram den boomer auf den seitengefunden hat gelöscht was nun auch möglich war!
und nun scheint auch alles wieder zu gehen!  

Aber die tests kommen erst morgen früh! äähhh in ein paar stunden jetzt erst mal ein bißchen schlafen;-)
Bis später  

5074 Postings, 9424 Tage Elanwieder mal ein Zeichen dafür

 
  
    #16
02.08.01 23:57
dass man im Netz nicht vorsichtig genug sein kann.

Ich nutze synchron: Zone Alarm...Ants...Inoculate und Adaware..surfe ungemein viel und hatte ausser Spywares noch nichts


Ich warne im Übrigen stark vor den mit Syware überfluteten Proggis von Napster und CO

 

   Antwort einfügen - nach oben