# komisches Programm versucht ständig eine Verbindung zu ivwbox.d* herzustellen



## Unregistriert (6 Juli 2006)

hallo zusammen.ich hoffe ihr könnt mir helfen.sofort wenn ich ins internet gehe versucht mein PC eine verbindung zu ivwbox.d* herzustellen. mein Pc ist total langsam geworden und irgendwie funktioniert fast nichts mehr.


----------



## Captain Picard (6 Juli 2006)

*AW: komisches programm versucht ständig eine verbindung zu ivwbox.d* herzustellen*

scheint  nicht ganz ohne  zu sein , google mal danach.... 
http://www.google.de/search?hl=de&q="ivwbox.de"&btnG=Google-Suche&meta=
http://www.userchannel.de/forum/viewtopic.php?t=4978
http://cert.uni-stuttgart.de/ticker/article.php?mid=641


----------



## News (6 Juli 2006)

*AW: komisches programm versucht ständig eine verbindung zu ivwbox.d* herzustellen*

Eigentlich ist die IVW (Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern e.V.) nichts Schlimmes, dieser Verein ist u.a. für die Auflagenzahlen-Ermittlung bei Zeitungen und Zeitschriften zuständig.
Online ist die "ivwbox" auf Homepages div. Medien eingebunden, um die Zahl der Seitenaufrufe und die Referrer (woher kam der User) zu überwachen. Wer sich daran stört, kann ivwbox.d* z.B.mit Adblock aussperren - nebenbei beschleunigt das oft den Seitenaufbau.

Sehr merkwürdig finde ich allerdings, dass der Rechner dem Anschein nach versucht, sofort die ivwbox zu kontaktieren. Dafür gibt es eigentlich keinen vertretbaren Grund.
Mögliche Erklärungen wären bsp. ein Trojaner - oder dass die Startseite des Browsers eine Medienseite ist, welche die "ivwbox" lädt.


----------



## Unregistriert (6 Juli 2006)

*AW: komisches programm versucht ständig eine verbindung zu ivwbox.d* herzustellen*

schön das ich ein paar antworten bekommen konnte.Es wird aber immer nerviger der pc hängt programme lassen sich nicht öffnen,derpc fährt von selbst runter und wieder hoch.Vor einiger zeit war ich auf der seite cracks.w* seitdem spinnt der pc im ordner "system32"waren lauter komischer anwendungen die sich nur im abgesicherten modus löschen ließen.hat man die anwendungen angeklickt ist der pc wieder runtergefahren.


----------



## Genesis (6 Juli 2006)

*AW: komisches programm versucht ständig eine verbindung zu ivwbox.d* herzustellen*

Was sagt der Virenscanner Deines Vertrauens zu Deinem System?

Ev. könntest Du einmal ein HiJackThis-Log als ANHANG posten...


----------



## News (6 Juli 2006)

*AW: komisches programm versucht ständig eine verbindung zu ivwbox.d* herzustellen*



			
				Unregistriert schrieb:
			
		

> Vor einiger zeit war ich auf der seite cracks.w*


Na schön, damit ist die Sache nun zumindest grundsätzlich geklärt.
Das hat nichts mit ivwbox zu tun, sondern es ist irgendein sog. "Browser Helper"   - ein Trojaner -, der von der Crackseite stammt.
Die ist bekannt dafür, dass sich mitunter so etwas installieren will.

Also: Virenscanner anwerfen, Autostarts überprüfen (z.B. mit dem windowseigenen Programm "msconfig.exe") und/oder der Empfehlung des Vorposters folgen.
Wenn der "Befall" noch neu ist, kann evtl. auch die "Systemwiederherstellung" von Windows XP helfen.

interessante Kurzanalyse in einem Forum (UK): 


> No I wasnt looking for a crack , I was looking for their hijacks lol.. ^v^
> Opening the cracks.** site instantly loads a browser hijack attempt , including a IRC trojan and a few xxxx.exe files , leading up to a full hijack of the desktop.


----------



## Unregistriert (7 Juli 2006)

*AW: komisches Programm versucht ständig eine Verbindung zu ivwbox.d* herzustellen*

so alles gescannt,aber jetzt ist immer noch ein trojaner namens PWS.Sinowal da.der sich auch nicht im abgesicherten modus löschen lässt.sobald ich jetzt ins internet gehe öffnen sich lauter pornoseiten die auch immer wieder kommen wenn man alles schließt das geht dann minuten lang.habe dann mal ins impressum geschaut wo die seiten herkommen aber da standen nur postfachadressen am arsch der welt drin.na toll dann habe ich diese ganze scheisse warscheinlich nur der crackseite zu verdanken.mich würde interssieren,wem die crackseite gehört aber auf der seite ist ja auch kein impressum.

achja,noch eine andere frage:ich hatte mir vor mehreren monaten mal eine internetseite gemacht die ich bei einen free space anbieter gemacht habe.die seite des free space anbieters ist nicht mehr zu erreichen da ist jetzt irgendeine dating seite drauf.und meine seite natürlich auch nicht mehr.meint ihr die seite wurde vom free-space anbieter gelöscht?war ja alles kostenlos würde mich nicht wundern


----------



## Stalker2002 (7 Juli 2006)

*AW: komisches Programm versucht ständig eine Verbindung zu ivwbox.d* herzustellen*



			
				Unregistriert schrieb:
			
		

> so alles gescannt,aber jetzt ist immer noch ein trojaner namens PWS.Sinowal da.der sich auch nicht im abgesicherten modus löschen lässt.



Einzige sichere Möglichkeit:
Alle Partitionen der Festplatte löschen und neu aufsetzen, danach das Betrübssystem neu installieren.
Anders wirst du nie die völlige Gewissheit haben, das dein Rechner nur auf dein Kommando hört und nicht etwa für den Spamversand "untervermietet" ist.

MfG
L.


----------



## Unregistriert (7 Juli 2006)

*AW: komisches Programm versucht ständig eine Verbindung zu ivwbox.d* herzustellen*

ist ja schon ziemlich nervig alles neu aufzuspielen.habe aber gerade im internet gelesen wie der trojaner trotzdem gelöscht werden kann.Jetzt finde ich ihn aber nicht mehr.im internet kann ich auch nirgend lesen wo sich der trojaner versteckt.Vieleicht weiss ja jemand von euch in welchem ordner er ist.

er heisst:Trojan PWS.Sinowal.AB


----------



## Captain Picard (7 Juli 2006)

*AW: komisches Programm versucht ständig eine Verbindung zu ivwbox.d* herzustellen*



			
				Unregistriert schrieb:
			
		

> er heisst:Trojan PWS.Sinowal.AB


die exacte Version  taucht nur auf koreanischen Seiten auf die  aber schlecht lesbar sind 
es scheint eine flammneue Version dieses Trojaners zu sein
http://www.avira.com/de/threats/section/details/id_vir/2070/tr_drop.sinowal.u.html


> Name:	TR/Drop.Sinowal.U
> Entdeckt am:	13/05/2006
> •  Bitdefender: Trojan.PWS.Sinowal.T


Die werden üblicherweise durchnummeriert bzw nach dem Alphabet benannt


----------



## Unregistriert (7 Juli 2006)

*AW: komisches Programm versucht ständig eine Verbindung zu ivwbox.d* herzustellen*

kenne mich mit trojanern nicht besonders aus.sind die meist in einem bestimmten ordner?z.b.system 32? heute habe ich irgendwo gelesen wie sich der trojaner doch löschen lässt nur leider weiss ich nicht in welchem ordner er ist.


----------



## Unregistriert (7 Juli 2006)

*AW: komisches Programm versucht ständig eine Verbindung zu ivwbox.d* herzustellen*



			
				Unregistriert schrieb:
			
		

> k.sind die meist in einem bestimmten ordner?z.b.system 32? heute habe ich irgendwo gelesen wie sich der trojaner doch löschen lässt nur leider weiss ich nicht in welchem ordner er ist.


wenn das so einfach wäre..

nur mal als Beispiel wo nahe Verwandte von deinem Trojaner sich einnisten


> – %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Sinowal.D.3
> 
> – %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Sinowal.M
> 
> ...



viel Spass


----------



## Captain Picard (11 Juli 2006)

*AW: komisches Programm versucht ständig eine Verbindung zu ivwbox.d* herzustellen*

mittlerweile  gibt es eine  genauere Beschreibung für  Trojan PWS.Sinowal.AB
http://click2clean.e-games.com.my/v3_info_view.asp?seq=4648


> Win-Trojan/PSW.62464
> alias * Trojan.PWS.Sinowal.AB *
> ....
> Win-Trojan/PSW.62464 is a trojan horse, which steals user information.
> ...


----------



## Unregistriert (12 Juli 2006)

*AW: komisches Programm versucht ständig eine Verbindung zu ivwbox.d* herzustellen*

vielen dank für die mühe.aber die beschreibung hilft mir ja nicht wirklich,ich will den trojaner ja
 löschen und ich weiss nicht in welhem ordner oder wo er sich versteckt.


----------



## Captain Picard (12 Juli 2006)

*AW: komisches Programm versucht ständig eine Verbindung zu ivwbox.d* herzustellen*

Das kann dir  niemand sagen außer den Firmen die Virenscanner herstellen. Besorg dir  einen brauchbaren 
und installier dir den.  Alles andere ist Kokolores.

EOT


----------

