Rain v1.0
ergab folgendes Log:
Rule "Implicit block rule" blocked (62.255.255.255,nbname).
Details: Outbound UDP packet
Local address,service is (x.x.x.x,nbname)
Remote address,service is (62.255.255.255,nbname)
Process name is "C:\PROGRAMME\RAIN\RAIN.EXE"
Rankware Diese
Soft bietet die Möglichkeit die Position in Suchmaschinen
zu bestimmen und zu verbessern. Leider ist sie vom selben Hersteller wie
Promoware - und der geht bei diesem Prog genauso vor wie bei Promoware.
(10.2.00) - siehe auch Promoware
RealNetworks-Produkte
sammel Info´s über Surf/Soundverhalten und übermittelt während
Online-Sessions
sie an den Hersteller, welcher sie in einer Datenbank ablegt. Diese Info kommt
von
VIELEN Seiten.*
Bestätigung(5.2.00), daß die Serials online gecheckt werden, was
zur rüden
Nachricht führte: "You are using an invalid serial number and certain
features now
have been disabled!"Hoppla!
Zur Real JukeBox gibts(7.2.00)einen Link
zu einem Patch,
der allerdings vom Hersteller selbst( der Dich ausspioniert hat) kommt.
Entscheidet selbst, ob man dem trauen kann......
(15.2.00) bestätigt obiges mit einigen !! Firewallogs :
Rule "NIX RAUS/REIN" blocked (rmapup.real.com,http).
Details: Outbound TCP connection
Local address,service is (0.0.0.0,1070)
Remote address,service is (rmapup.real.com,http)
Process name is "C:\PROGRAMME\REAL\REALJUKEBOX\REALJBOX.EXE
Weiterhin werden die URL´s cdinfo.real.com, cddb.cddb.com angesteuert.
Auch zum
Real-Player gibt´s einiges an Info:
Rule "redpup.real.com" blocked (redpup.real.com,http).
Details: Outbound TCP connection
Local address,service is (0.0.0.0,3197)
Remote address,service is (redpup.real.com,http)
Process name is "C:\APPS\REALPLAYER\REALPLAY.EXE
Auch hierbei werden im Weiteren die URLs service.real.com und man beachte:
registration.real.com angesteuert. Alles outbound TCP connections.
Es wird allerdings betont, daß die Verbindungen nicht bei jedem Start,
sondern
eher sporadisch angesteuert werden.
Nachtrag zum Realplayer 8:(16.4.01)
Auch wenn sämtliche Channel- und Update-Features deaktiviert sind, zieht´s
den Lutscher in Richtung registration.real.com....Eine Adresse zum blocken
also.
Zum Realplayer-Hersteller
erreichte mich diese Mail:
Wenn man legal bei dieser Seite diesen Player bestellt hat, und mit Kreditkarte
bezahlt hat, werden alle Kreditkartennummern gespeichert, und wenn sie dann
beim nächstenmall ein update, auch wenn's gratis ist, herunterladen, werden
sie ohne Eingabe der Kreditkartennummer, oder eine Bestellung, gleich für
alle Programme, welche die Firma anbietet zur Kasse gebeten, sprich: Vom Konto
wird Geld geklaut, und dann kommt sofort die E-Mail mit der Bestätigung. Auch
können sie diese Firma dann nicht mehr erreichen, sie verstecken sich hinter
automatischen Mailbeantworter, und geben eine Antwort auf alle Anfragen. Sie
müssen dann den Auftrag schriftlich bei Ihrer Bank wiederrufen, und beweisen,
dass sie das nicht bestellt haben, wie es mir passiert ist. Beweisen Sie mal,
ob sie etwas Downgeladet haben oder nicht? wenn die Firma Realplay sich einfach
tot stellt. Also Achtung, diese Firma speichert Kreditkartennummern, um sie
dann zu missbrauchen. Ich kann das beweisen was ich hier behaupte. Also wenn
dieses Programm nach Hause telefoniert, ist es gut möglich, dass immer wieder
den Kunden etwas verrechnet wird, wenn ein Demo oder Gratisplayer downgeladet
wird, und sie schon Kunde waren.
Zum Real-Player:(16.4.01)
Ein User berichtet folgendes zugunsten des Realplayers, was ich nicht unterschlagen
möchte und mit Genehmigung des User so hier zitiere:
"Ich kann aus Erfahrung sagen (habe vor dreieinhalb Jahren den Realplayer
offiziell gekauft), daß ich keinerlei solcher Erfahrungen gemacht habe. Im
Gegenteil, sogar nach einem formatieren der Festsplatte, konnte ich mir kostenlos
die neuste Version des Realplayer herunterziehen. Gebühren wurden keine abgebucht.
Lediglich beim letzten Update mußte ich $19.99 zahlen, darauf wurde ich aber
mehrfach hingewiesen und mußte ein Bestellformular ausfüllen. Hier hätte sogar
ein Blinder gemerkt, daß er jetzt etwas kauft und dafür zur Kasse gebeten
wird. Via email hatte ich auch schnell die Rechnung über den Betrag, der demnächst
abgebucht wird und genau so wars dann auch. Pfenniggenau. Ich denke, daß der
berichtende User eine Ausnahme war, der wie es mir bei der ******* (uups
Firma von dablobb unkenntlich gemacht) auch schon passierte einfach „Pech“
hatte. Auch bekam ich immer eine Antwort, wenn ich Fragen zum Realplayer oder
zum erneuten kostenlosen Download diese Teils hatte. Automatische Antworten
von Mailservern hatte ich auch erhalten, dies denke ich aber ist in Anbetracht
der Menge von Emails, die Real. Täglich erhält auch gar nicht anders zu bewältigen.
"
2 gegensätzliche Meinungen... Ich habe beide hier dargestellt, denkt
Euch euren Teil...
Redhand V5.0 pro
(24.5.00) Nach Freischaltung per Keygen, verband sich das Prog während
einer Online-session und meldet seither in ca 20-min. Abstand, daß es
sich
um eine gecrackte Version handelt. Das Zugangspasswort zum Prog wurde
ebenfalls geändert, es läßt sich somit nicht mehr starten
und auf konventionelle
Art de-installieren.
ReGet V1.6 (build 449) (05.07.00)Dieser
DL-Manager, der scheinbar auch vorzüglich mit
Freedrive funzt, verbindet sich via Port 80
nach Testzeitverlängerung per serial nach
Hause verbinden. Die Remote-Adresse ist:
update.reget.com 216.187.71.50
Fraglich ist, ob hierbei nur nach Updates geguckt wird, oder auch Serialvalidierung
statt findet.
ReGet version 1.6 [build449](9.9.00)
Nach einer ominösen Meldung mit den Daten des *ähem* registrierten
Benutzers nach einem
versuchten DL via ReGet von FreeDrive, wird permanent versucht, dem User ein
Update
aufzudrängen. Das bestärkt den Verdacht des Phonehomes dieses Programms.
Im Weiteren wurden CRC-Fehler am laufenden Band produziert, jedoch unwahrscheinlich,
daß das im Zusammenhang mit dem Phonehome steht.
Reget 1.7pro (international) (22.11.00)
öffnete beim ersten DL ein Fenster, mit der Aufforderung die Serial neu
einzugeben. Da dies bei bestehender INet-Verbindung geschah, liegt der Verdacht
nahe, daß die Serial online validiert wurde...und das Prog gesperrt.
Reget 1.7 free(2.1.01)
vom Hersteller gedowned installiert den TR.TsAdbot, welcher tlw vom Virenscanner
gemeldet wird und laut ZoneAlarm doch den Drang ins Internet verspürt...Adware
halt wieder, aber trotzdem gut zu wissen.
ZoneAlarm bringt hierzu 2 Frage: 1. "dll-datei erlauben?" 2. Zugriff
für reget erlauben?
Bejaht man letzteres, werden Dateien aus dem Netz geladen...es ist aber unklar,
welche dll hier gemeint ist.
Kann jemand dazu näheres sagen?
Reget (16.4.01)
Mich erreichte eine Mail, in der mit der Bitte, es nicht im Wortlaut zu veröffentlichen,
einige Vermutung seitens der Coder bestätigt werden:
1. Wenn nach updates gecheckt wird, wird die Serial übertragen und geblacklisted.
2. Im Lan checken die auf den einzelnen Clients installierten Programme, ob
auf benachbarten Maschinen der selbe Reg-Key verwendet wird. Damit wird versucht,
die "Einzelplatzlizensierung zu forcieren"
Diese Info´s kommen aus der Schmiede des Herstellers...also bitte ernstnehmen
Nochmals ReGet Free 1.7 (build 489) (18.3.01)
Via Port 80 wird versucht, update.regetsoft.com (216.167.71.48) zu kontakten.
Desweiteren wurden Verbindungsversuche zu
bootstraps.conducent.com:http
contents.conducent.com:http-proxy, telnet, 17027
pushv5.conducent.com bemerkt.
Desweiteren generierte die V1.7 Pro, ungefragt und grundlos eine Mail
an den Bug-Report, in dem zwar der Key nicht offen zu sehen war....aber trotzdem!
Wenigstens wird dabei der Mail-client aufgerufen, so daß man dieses
Unterfangen blocken kann.
Revelation 2.0(18.3.01)
von http://www.snadboy.com/ versucht,
bestätigt vom Author, beim Programmstart, ein Update zu finden.
Auch die Version Revelation 2000
Das Tool um Passwörter im Klartext auszulesen, versucht nach Hause zu
funken.
Outbound TCP connection
Remote address,service is (www.snadboy.com,http)
Process name is "Revelation.exe"
Rocket
(24.3.00) meldet dem Author die Benutzung eines Cracks. E-Mails von jenem
folgen....
ServU 2.5a (26.4) Nach Installation
eines FTP-Servers erfolgte ein UDP-Scan.
Die Herkunfts-IP dieses Scans konnte aufgelöst werden und siehe da -
gehört zu
Cat-Soft, dem Hersteller dieses Programms. Der zeitliche Zusammenhang zwischen
Installation und Scan sind deutlicher Beweis ungewollter Internet-Aktivität.
Daß der
Hersteller nicht gerade zimperlich ist, sieht man auf dieser Page:
http://www.cat-soft.com/warez.htm . Das untermauert die obige Annahme!
(8.6.00) Endlich die ersehnten Logs, die obiges beweisen:
Rule "Full Outbound Block" blocked (server.cat-soft.com,efs).
Details: Outbound UDP packet
Local address,service is (0.0.0.0,efs)
Remote address,service is (server.cat-soft.com,efs)
Process name is "E:\SERVU2.5\SERV-U32.EXE"
Rule "Full Outbound Block" blocked (server.cat-soft.com,efs).
Details: Outbound TCP connection
Local address,service is (0.0.0.0,3301)
Remote address,service is (server.cat-soft.com,efs)
Process name is "E:\SERVU2.5\SERV-U32.EXE"
Software Administration Kit 1.5 (22.10.00)
telefoniert laut diesem Log nach Hause.
Rule "SOFTWARE ADMINISTRATION KIT.EXE" blocked (www.lobstersoft.com,http).
Details: Outbound TCP connection
Local address,service is (0.0.0.0,1039)
Remote address,service is (www.lobstersoft.com,http)
Process name is "F:\SOFTWARE ADMINISTRATION KIT\SOFTWARE ADMINISTRATION KIT.EXE"
Starcraft´s Battlenet
(24.3.00)sendet User-Daten an den Hersteller-Server.
Starmoney 3.0(16.4.01)
Die Sparkassen-Soft verbindet sich nicht nur erwartetermassen mit dem Geldinstitut,
sondern auch mit dem Server von Starfinanz, wie uns Atguard berichtet:
Applikation: _MLOADED.EXE
Remote Service: https(443)
Remote Address: pop.starfinanz.de (212.79.56.49)
Ruft man diese Adresse per Browser auf, kommt man zu einer Anmeldeseite.
Starmoney:
Hier die Gegendarstellung der Star Finanz - Software Entwicklung und Vertriebs
GmbH:
"Stellungnahme zum Verbindungsaufbau zwischen
dem Kundenprodukt StarMoney 3.0 und dem Server pop.starfinanz.de
Zum Funktionsumfang von StarMoney 3.0 gehört ein Informationsdienst der Kreditinstitute
an ihre Kunden. Über diesen Mitteilungsdienst sind die Kreditinstitute in
der Lage, ihren Kunden wichtige Informationen, zum Beispiel bei Störungen
des Bankzugangs o.ä. zukommen zu lassen. Die Star Finanz übernimmt hierbei
die Rolle des Übermittlungsdienstes, der über den Server pop.starfinanz.de
abgewickelt wird. Der Mitteilungsdienst in StarMoney ist Bankleitzahl bezogen
und nicht personalisierbar, d.h. das Institut kann nur die Kunden der eigenen
Bankleitzahl erreichen. Beim Online-Gang überprüft StarMoney, ob für die Bankleitzahlen
der im Programm eingerichteten Konten neue Mitteilungen vorliegen. Die Star
Finanz versichert, dass bei der Abfrage auf das Vorhandensein neuer Mitteilungen
weder personen- noch kontengebundene Daten übermittelt werden. Es werden neben
der Bankleitzahl lediglich der Versionstyp (zum Beispiel Vollversion, Try&Buy)
übermittelt. Die auf dem Server auf diese Weise eingehenden Anfragen werden
lediglich elektronisch verarbeitet aber nicht physikalisch gespeichert. Alle
Mitteilungen werden verschlüsselt und signiert übertragen."
Ein User bestätigte dies in einer unabhängigen
Mail. Er berichtet, daß diese Updates zum Abgleich bis zu 5 Minuten
dauern können, wenn der Kunde länger nicht online war.
SubmitWolf
(11.4.00) Dieses Prog, sowie EUPromote stammen von Trellian,
zu dessen Seite sie sich auch verbinden. Dabei wird die Serial validiert und
ggfl.
gesperrt. Zudem wird mitgeteilt, daß die IP gelogged wurde. Die Url
des Herstellers ist
http://www.trellian.com/ .
Subsonic
(22.3.00) Das Prog versucht, falls in einer Online-Session gestartet eine
Verbindung zu
users.iol.it zu erstellen.
Outbound TCP connection
Local address,service is (x.x.x.x,2067)
Remote address,service is (users.iol.it,http)
Process name is "C:\APP\SUBSONICR\SUBSONICR.EXE"
Selbst wenn man dann das Prog beendet, behält es diverse Ports unterschiedlicher
Nummer
offen und soll weiter im Hintergrund aktiviert bleiben.
Surfsaver (22.2.01)
brint TimeSink mit. Durch den installierten TsAdbot.exe wird versucht, Verbindungen
zu bootstraps.conducent.com unter 216.35.217.125 zu etablieren. Das Entfernen
dieser AdWare hinterlässt einen funktionsunfähigen Surfsaver.
Teleport Pro
(15.2.00)Das beliebte Prog, um ganze Webseiten zu ziehen, sich auf Port 80
zum
Herstellerserver verbindet. Das ganze läßt sich mit einer Firewall
blockieren - komplette
Adresse auf allen Ports! Das Prog läuft weiter.
(3.3.00)Einer Mail zufolge versucht Teleport pro v1.29 build 1107 zu
www.microsoft.com , www.netscape.com und www.tenmax.com(alle TCP-outbound)
laut AtGuard Verbindungen zu etablieren. Letzterer ist der Hersteller!!!
Wenn man alle diese Ziele blockiert mit Atguard, versucht das Prog weiterhin
laut
Event-log diese Adressen zu erreichen. Die versuchten Verbindungen sind alle
TCP-outbound,Ports hierbei 1591-1594. Daß das Prog sich zu tenmax verbinden
will,
ist klar - Heimweh. Aber zu Microsoft und Netscape ???? Sehr ominös.....
(25.12.00)Teleport 1.28 pro build 254
versucht laut log, sich unerwünschter Weise mit icqnet.icq.com zuverbinden,
Port 8000.
Das Programm fiel schon einmal auf mit unerwünschten Connects zu MS und
Netscape.
Terragen(18.3.01)
der Landschaftsrenderer ist eigentlich free. Aber es gibt auch eine geringfügig
erweiterte Kaufversion.
Und bei eben dieser entstand dieses Atguard-Log:
Outbound UDP packet Local address,service is ([Computername],nbname)
Remote address,service is (209.101.195.2,1237)
Process name is "C:\PROGRAMME\TERRAGEN\TERRAGEN.EXE"
The Bat( mind ab V1.44)(28.9.00)
verschickt im Header die Serial, das sieht dann so aus:
The Bat! (v1.44) UNREG / CD5BF9353B3B7091
The Bat! (v1.45) UNREG / CD5BF9353B3B7091
Tracking the Eye
(24.3.00) validiert die Registration beim Hersteller.
TreeSize Professional V2.1d
kontaktiert selbst nach erfolgreicher Crack-Registrierung den Hersteller
(6.2.00). Der Crack in diesem Fall ist von der GCG namens gcg_tsizepro.
Das Prog beendet sich dann mit dem Hinweis, das es eine nicht registrierte
Kopie sei.
Tweakbios 1.51(26.12.00)
Während des Setups versucht Tweakbios die Überprüfung auf Updates,
dabei versucht ein heimlich im Hintergrund laufendes Prog "online.exe"
offensichtlich den SMTP-Server von Compuserve zu connecten, sprich eine Mail
zu schicken, was dieses Atguard-Log belegt:
Rule "unused ports" blocked (mail.compuserve.com,smtp).
Details: Outbound TCP connection
Local address,service is (0.0.0.0,3914)
Remote address,service is (mail.compuserve.com,smtp)
Process name is "online.exe"
Die Setup-Routine löscht dann dieses Programm, somit kann man es
nicht zerlegen und nachsehen, was es tatsächlich sendet. Sehr ominös,
man sieht auch sonst nicht, welche Prozesse noch gestartet werden, da das
Setup in einem nicht minimierbaren Vollbild läuft. Der Einsender dieser
Nachricht empfiehlt allen, das Prog offline zu installieren.
UK Speaking Clock ab V7.00 UK
Speaking Calendar
UK Speaking E-Mail
Diese Progs schicken (4.2.00) nach Verbindungsaufbau zum WWW Infos an den
Heimserver, verifizieren sich, melden daraufhin einen Fehler bzgl der Registrierungsnummer
und lassen sich dann nicht mehr starten.
Ulead PhotoImpact
6
sendet, initiiert durch die SmartDownload-Funktion, die Serial an den Hersteller.
http://www.ulead.com.tw/uleadAp/Push/doPush.cfm?SN=*****-*****-*******&LN=22&TYPE=3A010F
Erst dann wird man zur DL-Seite geleitet:http://pi.ulead.com:8080/pi6esd/g/
Es gibt allerdings auch eine "alternative" DL-Seite und zwar hier.
Dort befinden sich die Links zu den gewünschten Extras. thx to Creyscull
:)
Weitere DL-Möglichkeit für den Komponentendesigner und die Extras
gibt es unter diesen ftp-Adressen:
ftp://ftp2.ulead.com/users/pi6comp/Component_G.exe
ftp://ftp2.ulead.com/users/pi6/...
Damit das problemlos funzt, muß man folgender Anleitung gemäß
an der Registry schrauben.
" Damit Ihr das ganze dann benutzen könnt, ändert Ihr folgenden Registry-Eintag
nach der installation und ihr solltet nicht mehr nach "wollen downloaden ...
URL nicht gefunden ... bla bla gefragt" [HKEY_LOCAL_MACHINE\Software\Ulead
Systems\Ulead PhotoImpact\6.0\PhotoImpact ESD] "IsEsd"=dword:00000001 <==
auf 00000000 setzen " Zitat Junger Pionier....thx :)
PhotoImpact ab V5
versucht lt ZoneAlarm sich ins Netz zu verbinden, wenn man es während
einer Online-Session startet.
Virtual Drive 2000
(17.3.00)versucht laut ZoneAlarm eine Verbindung ins Internet zu etablieren.
Visual Route
greift laut @Guard auf den Herstellerserver zu.(31.1.00)
Dies (5.2.00) gilt auch für
Version 4.2a+ VPOP3
(10.3.00) meldet bei falscher Registrierung nach Online-session, daß
die
serial ungültig ist, und beendet sich.
Web2Pop 1.0.3.8
(22.5.00) Diese Soft zur Integration von www-maildiensten wie Hotmail,
sendete nach einem Modul-update (hier für Hotmail) die Daten des Users
an den Herstellerserver. Übermittelt werden hierbei die IP, den Computer-
namen
sowie der Accountname beim betreffenden E-Mail-Dienst. Kurz darauf erhält
de
r User eine Mail des Herstellers, in welcher der Hersteller die übermittelten
Daten
nennt, den User auffordert sich binnen einer Woche zu registrieren und nachrichtlich
zu entschuldigen. Ansonsten wird gedroht, den Provider des Users über
die Benutzung
gestohlener Software zu informieren.
WebConvert pro
(24.3.00) meldet dem Author die Benutzung eines Cracks.
Dieser reagiert mit einer Mail...erstmal.
WebHancer Customer Companion(22.10.00)
telefoniert nach Hause. Hier ein Log:
Rule "Implicit block rule" blocked (204.191.36.14,http).
Details: Outbound TCP connection
Local address,service is (0.0.0.0,1322)
Remote address,service is (204.191.36.14,http)
Process name is "whAgent.exe"
Das Prog steuert dabei verschiedene Server an (d2.webhancer.com:80 d3.webhancer.com:80
d4.webhancer.com:80 d5.webhancer.com:80) und versucht minütlich über
einen Port zw.1000 und 3000 zu verbinden - ein hartnäckiges Mistvieh
;-)
Weiter wird ohne Zustimmung der Agent in C:\Program Files\webHancer\ installiert
sowie dieser REG-Key eingefügt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
webHancer Agent = "C:\Program Files\webHancer\Programs\whAgent.exe"
In den Temp-Files befand sich "whInstaller.exe " welches nicht wissentlich
gedowned geschweige denn gestartet wurde.
In den Vereinbarungen wird zwar auf "anonyme Datensammlung" hingewiesen,
aber so etwas ist schon dreist..
Btw hier ein Riesen Kompliment an den recherchierenden Leser, der diese Info´s
gesammelt hat :)
Nachtrag zu Webhancer(26.12.00)
Ein User beschreibt, daß er sich dieses Prog unwissentlich entweder
mit Wrapster oder Napigator gedownloadet hat. Die manuelle De-Installation
führte zu instabilem Verhalten von IE und Outlook Express.
Die De-Installation via Systemsteuerung/Software hinterließ einige Files.
Nur die Bereinigung mit RegClean 4.1 und dann die manuelle Entfernung des
Programmordners klappten. Dabei fand sich Webhancers an mind 5 verschiedenen
Stellen der Registry.
(2.1.01)Webhancer
und das Live-Update Crescendo
Plug-In
Das Drama um Webhancer nimmt kein Ende...ein User beschreibt, daß nach
Mit-Installation dieses kleinen Schweineprogramms (sorry, muß man leider
so sage :( ), welches beim Windows-Start mitgeladen wird, der Zugriff aufs
Internet versucht wurde. Die De-Installation ruinierte die WinSock des Users,
so daß dieser gezwungen war, sein System durch ein Backup wieder operational
zu machen....es ist zum Kotzen, was dem Anwender hier zugemutet wird, einfach
nur zum Kotzen ...tut mir leid, aber das regt mich auf :((
Noch etwas zum Webhancer:
Ein User beschreibt, das er einen uninstall-String in der Reg unter W2k fand,
den man mit folgendem Dos-Command zur Bereinigung des Systems verwenden kann:
C:\winnt>whinstaller.exe /uninstall whAgent
Der User empfiehlt, die verbleibenden dll´s einfach zu löschen.
Nachtrag des Users:"c51xie.exe läßt sich gottseidank wie ein zip-archiv
öffnen. Also habe ich vor der Installation alle Einträge im Folder Webhancer
entfernt und siehe da: das Plug-In installiert sich ohne Probleme und ohne
Webhancer! "
Webhancer: (22.2.01)
Ein User sendet hier ein Kochrezept, womit er diesen Schmarrn losbekommen
hat:
1.dieses web hancer teil sitzt immer auf c:program files
2.ich hatte das einfach mal gelöscht weil ich nicht wusste was das ist
3.probleme mit internetzugang (nix geht mehr) vermutlich löscht man auch irgentwelche
dateien die zum system gehören
4.vermutlich mit alladvantage.com eingefangen
5.nach 20 mal festplatte löschen sogar mit diskette format c: und neuer festplatten
einteilung mit fdisk immer
noch da weiß der geier wo das herkommt (alladvantage schon lange gelöscht
und bestimmt 15 mal format c: danach) immer noch da
6.habe aber mit dem ad-aware erfolg gehabt !!!! ganz wichtig !!!! programm
darf beim löschen nicht aktiv
sein sonst funzt es nicht und der pc ist wieder nicht funktionsfähig zuerst
mit start, ausführen dann msconfig eingeben dann autostart, dann häkchen aus
dem programm nehmen, neustart und dann sollte es mit
dem ad-aware keine probleme mehr geben.
Vielleicht kann der Ein oder Andere damit was anfangen...
Webhancer:
Dieses Teil wird auch durch pickupchicks.exe, ein Installprogramm von
http://www.joecartoon.com/. Es muß jedoch
gesagt werden, daß in den EULA darauf hingewiesen wird.
Webhancer
Mich erreichen immer wieder Mails, die bestätigen, daß Webhancer
mit audiogalaxy installiert wird.
Es wird aber auch berichtet, daß sich das Problem erfolgreich mit der
aktuellen Version von Ad-Aware
killen läßt.
Nochmals Webhancer(18.3.01)
Falls sich bei der DeInstallation Dateien nicht löschen lassen, empfiehlt
ein User folgendes:
"Auf der webhancer-Homepage war zu lesen das man das Programm von deren
Website herunterladen muß und neu installieren muß. Jetzt ist es vom Ursprünglichen
"Bundle" mit Napster + Co befreit und kann ganz einfach über die Systemsteuerung
entfernt werden. Es klappte tatsächlich! Alle Dateien ließen sich endlich
komplett löschen, ohne böse Auswirkungen auf das System. "
Es sei nochmals auf das ganz hervorragende AntiSpy-Tool Adaware
hingewiesen.
Noch was, man muß zur De-Installation unter NT/2k als Admin eingelogged
sein, sonst ist´s Essig mit dem Entfernen.
WebInspector
(14.4.00) Das Suchmaschinen-Tool verbindet sich über Port 80 zum Hersteller
unter der Url http://www.ari.de/
Webreaper(16.4.01)
Dieser offline-reader wird in Verbindung mit Aureate-Spyware gebracht... bekannter
heimtelefonierender Prozess ist msipcsv.exe
WebWeasel
(24.3.00) telefoniert nach Hause.
Wetsock 4
kontaktiert auch nach erfolgreicher Crack-Registrierung den Hersteller während
einer Online-Session und validiert sich.
Web SurfACE v3.0.1 Build 439
(30.6.00) Weitere Soft mit Aureate-Prinzip: Das zuvor Aureate-bereinigte System
sah nach der Installation so aus: 1
3 (spy-)files auf C: !* 2 Aureate keys were found in the registry! 6 Aureate
DLLs are referenced
in the registry! 13 Aureate Process Parasite references found! 21 Adbot/Spyware
entries were
found in the registry!
Vorhergehende Phone-versuche zu ans4.adsoftware.com und media1.adsoftware.com
sowie bei Eingabe einer falschen Serial Scan-versuche von deren Server aus!
Die De-Installation erfolgt nach Aureate-Prinzip auch nicht vollständig
WhereIsIt Laut E-Mail vom 4.2.00
sperrte sich das Prog während einer online-session.
Aber auch auf einem Rechner ohne Modem (4.2.00), wurde der User als WarezUser
identifiziert.
(10.3.00)Letzteres hängt wohl mit einem nicht reibungslos funzenden Crack
zusammen.
Das Problem sei aber in aktuellen Cracks gelöst, empfohlen wurde der
Release von
Core für Version 2.11, der wohl auch die online-sessions bzgl dieses
Progs unauffällig macht.
(30.4.) Entgegen bisheriger Annahmen wird immer wieder bestätigt, daß
das Prog nach Hause
telefoniert. Ich wollte es eigentlich schon von der Liste nehmen. Jedoch scheint
es tatsächlich
ein Phonehome-Problem aufzuweisen.
(25.5.00) Für die Version 2.16a (Versionsnummer beachten!) soll ein Keygen
von
Hambo den Testverlängerer glücklich machen, damit sei auch das Warezuser-Problem
vollständig gelöst. Kennt jemand eine
zuverlässige DL-Adresse dazu?
Wildtangent-Software (30.4.) Der Softwarhersteller
Wildtangent, dessen Produkte
teilweisevon MS und Matrox verwendet werden, gibt offiziell zu, daß
die Komponenten
nach Hause telefonieren. siehe
auch hier. Man erkennt die Software relativ leicht daran,
daß sie ein Verzeichnis %WINDIR%\WT anlegt, in welchem auch die Updates
abgelegt
werden. Abhilfe: Unterverzeichnis \WT im Windowsverzeichnis löschen, Autostarteintrag
mit
MSCONFIG entfernen und Registry nach \WT\-Einträgen durchsuchen und enfernen
(mehrfach).
Wildform SWfX Text Animation
(9.9.00)versucht Kontakt zum Heimserver aufzunehmen, auch wenn das Prog nicht
läuft.
(Atguard-Meldung)
WinAce V1.3
(4.3.00) versendet laut lockdown5 Informationen ggfl. sogar Passwörter.
Verantwortlich ist die
Datei arcext.dll. Diese muß im DOS-Mode gelöscht werden, da beim
Löschversuch unter
Windows behauptet wird, daß die Datei von Windows verwendet würde.
(8.3.00) In einer Mail wird geschildert, daß das Prog (testverlängert
mit egis/CORE- Keygen)
nach löschen obiger dll sich mit folgender Fehlermeldung de-registriert:
" Sie benutzen einen AV-Key ("ace-key") der nicht einwandfrei ist und
nicht vom Hersteller stammt ....." Erneutes Registrieren, bzw die Erstellung
einer
"dummy"-arcext.dll schlugen fehl.
(5.4.00) Andererseits wird auch berichtet, daß das Prog mit obigem Löschverfahren
funzt.
Möglich wäre, daß man die DLL noch während dem Testzeitraum
löschen muß......
Wer weiß weiteres darüber???
(15.5.00)Wiederum wird berichtet, daß sich nach einer Online-session
die Serial sperrt,
so daß es nötig wird, per Key-Gen eine neue Serial "herzustellen".
(25.12.00) WinAce Archiver 1.2
Lockdown 5 meldet, daß im Dir von Winace ein Passwortsender aktiviert
wurde. Könnte auch einer der hinreichend bekannten, seltsamen Lockdown-Meldungen
sein...aber man weiß es nie...
WinAce 2.0 und 2.02(18.3.01)
überprüfte, als der User Dateien entpackte und dabei online war,
die Serial und funzte dann nur als Shareware weiter.
WinAmp ab V2.6
(10.3.00)Keine Panik - nur ein Hinweis: Im Menu preferences...setup ist die
Option
"allow winamp to report basic, anonymous prorgam usage information" standardmäßig
aktiviert.
Wenn Ihr es deaktiviert, findet kein Senden von sog "prog usage info"
statt. Aber man muß
halt erstmal draufkommen. Wie gesagt, kein Grund zur Panik!
(23.7.00) Die Version 2.62, direkt von winamp.com bezogen, versucht sich,
wenn es während
einer online-session gestartet wird, via port 80 zur IP 62.26.119.151 zu verbinden.
(17.8.00) Der gennante Phonehome wird durch das deutsche Sprachpaket
hervorgerufen,
genannt deutsch250.lng . Wie berichtet
wird, beendet das Entfernen des Files den
Verbindungsaufbau.
WinDac32 V1.51(28.9.00)
versucht nach cddb-lookup nach Hause zu telefonieren.
Outbound TCP connection
Local address,service is (0.0.0.0,1264)
Remote address,service is (www.windac.de,http)
Process name is "WinDAC32.exe"
(25.12.00) WinDAC
überprüfte im Rahmen einer CDDB-Abfrage den Key und sperrte sich
hinterher. Neu-Installation mit "gültigem" Key jedoch möglich...;)
Windowblinds 1.1 (4.2.00)das testzeitraumverlängerte
Prog zickte, nach dem es
während einer Online-Sessiom gestartet wurde, dabei flackerte die Sende-LED
am
Modem. Danach lief es nur noch als Shareware weiter, obwohl es zuvor "anerkannte
Vollversion" war. Offline liess es sich vorher ohne probs starten.
Windows Millennium build 3000 (Final )
(30.6.00) verbindet sich vom User ungewollt zu Microsoft. Das passierte 24h
nach
Installation. Dem User wurde mitgeteilt, daß neue MS-Dateien bereitliegen.
Dieses Auto-Update
kann man abstellen, nur wird man nicht während der Installation auf dieses
Feature hingewiesen. Deshalb: Abstellen, bevor Win heimtelefoniert, denn denen
ist alles an linken Touren zuzutrauen
Windows Media Player 7(18.3.01)
" Erstellt einen GID (Globally unique IDentifier) - so wie ihn Office
in die Office-Dateien hineinschreibt. Es gibt in den Menues des WMP7 zwar
eine Option um ihn abzuschalten, jedoch wird er TROTZDEM zusammen mit der
IP# und MAC des Computer an den Anbieter des Video- oder Audio-Streams uebertragen.
Fuer Computer welche keine Netzwerkkarte - und somit auch keine MAC - haben
wird eine zufaellige erstellt. Mittles dem GID ist der Computer des Users
weltweit eindeutig zu identifizieren"
...aus einer mail....
Windows update 98 auf 2000(18.3.01)
" Die Windows-Update funktion von Windows 98 -> Windows 2000 sendet die
GESAMTEN Registrierungsdaten (Name, Organisation, Betriebssystemkennung, Seriennummer)
von Windows und eventuell anderen installieren Microsoft Produketen (Office
XX, etc.) an den Microsoft Server zwecks Archivierung der selbigen. Im Falle
einer "nicht originalen" Version hat man beim verwenden dieser "Spionage"-Funktion
schlechte Karten"
....aus einer mail....besser kann man´s nicht sagen.
Win 2k und IE 5.5
verbinden sich wohl zum Microsoft Internet Information Server 12.3.17.160.
An dieser Stelle sei nochmal auf www.win2000helpline.de
verwiesen, unter "System Info´s und Tips" findet Ihr Hinweise
zur Unterbindung vom w2k- phonehome.
WinOnCD 3.7
überträgt (4.2.00) beim Aufruf des Menüpunktes Hilfe -Internet-update
die Serial.
Laut einer Mail (9.2.00) wird dann zwar der Brennvorgang als erfolgreich bezeichnet,
es
ist jedoch nur Rauschen auf dem Rohling (hier Audio-Produkt) zu hören.
WinOnCD 3.8
telefoniert gemäß einigen ZoneAlarm-Meldungen nach Hause. Angesteuert
wurde unter anderem die Adresse ffm2-tux.mcbone.net [62.104.196.134].
Nachtrag zu WinOnCD 3.8 (18.3.01)
Die benannte IP 62.104.196.134 scheint ein Name Server zu sein, der Bereich
ist jedenfalls auf RIPE gemeldet.
Es könnte daher sein, daß WoCD, darüber eine Adress-Abfrage
bzgl zB cddb-Datenbanken durchführt.
Winproxy (1RF) (22.5.00) Dieses Prog
versucht, vom User ungewollt, bei bestehender
Internetverbindung sich zu Url´s wie diesen zu verbinden: www.winproxy.com
oder
www2.winproxy.com
WinProxy V. 3.0R1q
versucht, eine http-Verbindung zu http://www.winproxy.com/ und register.winproxy.com...
Dabei wird die Serial verglichen, was dem User in Form einer invaliden Seriennummer
danach! auffiel.
WinRAR ab V2.60 soll scheinbar auch
heimlich die Registrierung online prüfen.
Wer kann dies bestätigen, oder hat sogar ein Firewalllog?
(24.2.00)das Prog bringt nach geraumer Zeit folgende Meldung
"Ihre serial ist veraltet.... bitte lassen sie sich online registrieren...."
Zuvor mit faked Serial
als Vollversion laufend, danach "nur" noch Testversion. Neu freischalten
bereinigt
aber das Problem.....
(9.10.) WinRar 2.7eng
schaffte es nach einer Session, in der die Firewall de-aktiviert werden musste,
nach Hause zu telefonieren.
Die darauf hin neu aktivierte Firewall meldete dann einen outbound-versuch.
Winrar ließ sich nicht mehr starten.
Winroute (22.10.00)
telefoniert evtl nach Hause, ZoneAlarm vermeldet zumindest solches.
Winzip 8.0 (18.7.00) Laut ZoneAlarm
versucht winzip.exe auf´s Internet zuzugreifen,
als während einer online-session Winzip im Hintergrund aktiv war.
Word 2000(9.9.00)
Werden aus einer Webseite Textteile in ein Dokument integriert, versucht laut
ZoneAlarm
die winword.exe eine Verbindung ins Netz herzustellen. Wird dies geblockt,
erhält man von
Word die Meldung, daß die importierte Graphik fehlerhaft sei....
XDrive-Zugangssoftware (5.4.00) Lt
einem Thread auf Cosmo´s board verbindet
sich die Downloadsoftware vom Freespace-Provider xdrive auch ungebeten (!)
dorthin.
Folgendes Log bestätigt dies: Outbound TCP network communication is
being attempted
Application: Internet Explorer Remote service: https (443)
Remote address: www.xdrive.com (208.48.218.205)
Atguard bemerkte dies, ohne daß der User während dieser online-session
xdrive angesteuert hätte. Dazu sei aber gesagt, daß der xdrive-account
auch
ohne diese Soft funzt. Wer weiß mehr darüber ?? Bitte mailen.
Auch der Yahoo!-Player(22.10.00)
, ein Media-Player a la Winamp, telefoniert laut
Atguard nach Hause.
Rule "Yahoo Player" blocked (download.yahoo.com,http).
Details: Outbound TCP connection
Local address,service is (0.0.0.0,1396) (Anmerk.: oder Port1397)
Remote address,service is (download.yahoo.com,http)
Process name is "C:\PROGRAMME\YAHOO!\YD\YD.EXE"
Die Auto-update-Funktion war aber abgestellt, sowie die
Einstellung, daß keine User-Daten gesammelt werden sollen, aktiviert
werden. Daß trotzdem Verbindungen hergestellt werden, wird auf
http://help.yahoo.com/help/player/index.html
dem User nicht gesagt.
NACHTRAG: die YD.EXE ist nicht die exe des Players, wird aber im Installationsvorgang
mit installiert.
Rechner-/Userbezogene Daten werden trotz Untersagen im Installationsvorgang
versendet.
Zone Alarm V2.0.26 (2.3.00)Bei dieser
Firewall sollte der "MoreInfo"-Button in der
Alarmbox nicht gedrückt werden. Ansonsten werden an den Heimserver folgende
Daten
versendet: -Quell- und Zieladresse mit Port (logisch!) -OS incl Version -Firewallversion
-Ob die Verbindung blockiert wurde -Lock-Status der Firewall Eigentlich kein
Problem,
wenn man den besagten Button nicht drückt. Selbst wenn, stellen die besagten
Info´s
keine wirkliche Gefährdung für den Normalsurfer dar. Hier soll aber
der Vollständigkeit
halber darauf aufmerksam gemacht werden.Die
Quelle ist hier einzusehen. Sonstige
Phonehome-Gerüchte zu ZoneAlarm sind bisher nicht bestätigt.
(28.9.00) ZoneAlarm Pro
installiert die "vsmon.exe" mit ...und siehe da, das sagt Atguard
dazu:
Outbound TCP connection
Remote address,service is (216.77.103.131,http)
Process name is "vsmon.exe"
Ferner versucht ZApro bei der ersten Http-Verbindung zu mail.mastec-ie-ga.com
zu connecten. Laut whois gehört der Server zu www.networksolutions.com.
(23.10) ZoneAlarmPro telefoniert nach Hause. Der Anwender erhielt eine
Mail, mit der
Aufforderung bis Monatsende die Version zu bezahlen. Er hatte aber auch seine
real
Mail-Addy beim installieren angegeben.