bar.baidu.com – was ist das ?

Guten Tag alle miteinander,

inwieweit dieser Beitrag richtig platziert ist, werde ich sicher noch erfahren. Meine Suche nach dem Thementitel „bar.baidu.com – was ist das ?“, war jedenfalls hier im Board vergeblich.

Auch intensives googeln hat erbrachte wenig informatives. Die Verbindung zu FF ergibt sich für mich bei der Benutzung von „CurrPorts v1.10“ (näheres unter http://www.nirsoft.net). Möglicherweise kennt ja der eine oder die andere dieses nützliche Freewareprogramm. Mit einigem Glück können damit alle? Verbindungen, die zur Zeit auf dem PC nach außen abspielen sichtbar gemacht werden.

Als mir die ominöse Verbindung zu „bar.baidu.com“ bekannt wurde, habe ich sofort an einen Trojaner gedacht und die Verbindung im „hosts“ auf 127.0.0.1 „geerdet“ - die Suche über Google hat keinen Trojaner ergeben allenfalls wird hier wohl ganz „legal“ das Userverhalten ausgespäht. Das Ding ist wohl etwas chinesisches (http://en.wikipedia.org/wiki/Baidu) und hauptsächlich in Asien vertreten – nicht einverstanden sind wohl auch andere (http://baidustinks.googlepages.com/home4) worauf der Name wohl deutlich hinweist.

Da ich sonst noch nichts finden konnte und sich „bar.baidu.com“ stets unter „Remot-Hostname – Remot-Adresse – Remot-Port“ mit firefox.exe gekoppelt (auch thunderbird.exe) „redlich bemüht“ (über zahlreiche unterschiedliche Ports) Verbindungen mit „bar.baidu.com“ aufzubauen (was wohl hoffentlich immer im „hosts“ endet), wende ich mich mal an Euch. Zunächst möchte ich von einer Neuinstallation absehen (mein letztes aktuelles Image enthält leider bereits den „bar.baidu.com“ Mist) und weder der aktuelle „BitDedender“ noch „SpyBot“ etwas ungewöhnliches zu finden vermag, ist das Ganze entweder harmlos oder ich muss doch noch eine Neuinstallation vornehmen.

Was ich dann allerdings mit all meinen Partitionen auf div. Festplatten veranstalten muss, ist mir sehr schleierhaft – wie gesagt BitDefender usw. finden nix!

Nun bin ich mal gespannt, was ich mir als DAU so anhören muss :oops:

Och schade, dass sich hier kein eigenes Bild (Screenshot) hochladen lässt – damit hätte sich das oben beschriebene verständlicher wiedergeben lassen :shock:

Hallo Road-Runner & Palli,

vielen Dank für die schnelle Antwort! Ich werde morgen versuchen all das Gewünschte zusammenzustellen (auch Screenshots, die werden sicher einiges an Erklärungen sparen).

Dann kann es in „Ruhe“ weitergehen – noch habe ich ja keine sichtbaren Nachteile (wobei ich hoffe, dass CurrPorts nichts „vorbeilässt“ jedenfalls nicht ohne es anzuzeigen!

Gruß

OdG

@ Fragen von Palli :

1.Einstellung für Programmupdate *ja

2.Installierte Add-ons *ja - sowie Suchmaschinen *ja

3.Fishing Filterliste – nein, hier habe ich keinerlei Einstellungen – denke / hoffe „Spoofstick“ reicht aus ???

4.RSS Feeds nutze ich nicht – daher auch keine Aktualisierung

5.Hier habe ich ebenfalls keine Einstellung vorgenommen (von denen ich wüste)

6.Einzig „Google“ „Yahoo“ machen Suchvorschläge bei der Eingabe (die ich allgemein „übersehe“)

7.Forecastfox Enhanced und FoxClocks sind installiert und aktiv.

*ja = Einstellung „Update“ : Automatisch auf Updates überprüfen / Wenn Updates für FF (Fx) gefunden werden – Das Update automatisch herunterladen und installieren – Warne, falls dadurch ein Add-on deaktiviert wird.

Hier die gewünschten Angaben (nach „Deshalb“) (alles ist auf dem aktuellen Stand)

Erstelldatum: Mon Mar 05 2007 12:46:12 GMT+0100
UserAgent-String: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.2) Gecko/20070219 Firefox/2.0.0.2
Build-ID: 2007021917

Aktivierte Erweiterungen: [26]
- Adblock Plus [de] 0.7.2.4: http://adblockplus.org/ (alle Adblock-Reverenzseiten sind aktiviert)
- All-in-One Sidebar [de] 0.7.1: http://firefox.exxile.net/aios/
- Allow Right-Click [de] 0.4: http://roachfiend.com
- Create Shortcut [de] 0.3.4: http://www.pikey.me.uk/mozilla/
- CustomizeGoogle [de] 0.55: http://www.customizegoogle.com/
- Deutsches Wörterbuch 1.0.1: http://www.google.com/search?q=Firef…%20W%F6rterbuch
- DOM Inspector 1.8.1.2: http://www.mozilla.org/projects/inspector/
- External Application Buttons [de] 0.7.4: http://extensions.geckozone.org/ExternalApplicationButtons
- Firefox Extension Backup Extension (FEBE) 4.0.4: http://customsoftwareconsult.com/extensions
- Forecastfox Enhanced [de] 0.9.3.1.1: http://users.rcn.com/shoofy/forecastfox_enhanced/
- FoxClocks [de] 2.0.19: http://www.stemhaus.com/firefox/
- InFormEnter [de] 0.5.2.1: http://informenter.mozdev.org/
- keyconfig 20050313.1: http://mozilla.dorando.at/
- Menu Editor [de] 1.2.3: http://menueditor.mozdev.org/
- Mozilla Internet Dictionary [de] 0.6.59: http://mid.mozdev.org
- MR Tech Local Install [de] 5.3.2.3: http://www.mrtech.com/extensions/local_install/
- NoScript [de] 1.1.4.6: http://noscript.net
- Ook? Video Ook! 0.6.5: http://ook.dedos.net/
- OpenBook [de] 1.3.4: http://www.chuonthis.com/extensions/
- PDF Download [de] 0.7.9: http://www.pdfdownload.org
- PrefButtons [de] 0.3.4: http://www.extensionsmirror.nl/index.php?showtopic=86
- Print [de] 0.2.6: http://jeeradej.webhop.org
- Resizeable Form Fields [de] 0.2.1: http://justinsomnia.org/2006/10/resize…ds-for-firefox/
- Smiley Xtra [de] 4.1.1: http://www.smileyxtra.co.uk/
- SpoofStick [de] 1.06: http://www.corestreet.com/spoofstick/
- Tab Mix Plus [de] 0.3.5.2: http://tmp.garyr.net

Installierte Themes: [3]
- Firefox (default): http://www.mozilla.org/
- HiVisGnome 2.0.2: http://edhume.googlepages.com (wird z. Z. benutzt)
- Walnut for Firefox 1.7.07: http://www.geocities.com/alfredkayser/mozilla/walnut.htm

Installierte Plugins: (6)
- Java(TM) 2 Platform Standard Edition 5.0 Update 9
- Microsoft® DRM
- Mozilla Default Plug-in
- Shockwave Flash
- VLC Multimedia Plugin
Windows Media Player Plug-in Dynamic Link Library

Momentan sind folgende Suchmaschinen installiert :

1.Google (keine extra Google Suchleiste)
2.Yahoo
3.Amazon.de
4.BBC News
5.ebay
6.Webster
7.Wikipedia (de)
8.Wikipedia (Englisch)

Derzeit verwende ich ein XP-Image, das keine Reste von früheren Versuchen mit anderen Suchmaschinen und sonstigen Versuchen enthält – getestet habe ich schon vieles, allerdings habe ich sowohl alle Programme (wo das möglich ist) in extra Partitionen zusammengefasst, selbst die Auslagerungsdatei hat ihr eigenes „Plätzchen“.

Im Fall von Problemen mit einzelnen Programmen, kann ich die nach einem Imagewechsel „rückwärts“ problemlos löschen, weil sämtliche Einträge in der Registry fehlen (je nach gewähltem Image). Die XP-eigene Systemwiederherstellung ist auf allen Laufwerken deaktiviert.

FEBE macht zwar „fleißig“ BackUp – nur ich habe keinen Gebrauch von diesen BackUp gemacht (jedenfalls nicht wissentlich). Nicht alle Erweiterungen nutze ich regelmäßig voll aus – kann mich allerdings auch nicht zum Löschen entschließen

Startseite : about:blank – dafür habe ich im browser.throbber.url ein Forum eingetragen (nichts exotisches)

NoScript ist in ständigem Gebrauch und ich gebe nur die Java-Script frei, die für das Funktionieren der jeweiligen WEB-Seite erforderlich sind – bei Zweifeln weg mit der Seite. Ob ich das allerdings immer zu 100% richtig getan habe ? Nun wer weiß das schon...

Einige Einstellungen - was ich so beim Schließen des FF löschen lasse :

Chronik = keine Häckchen (damit hoffentlich kein Chronik-Gedächtnis)

Cookies = akzeptieren ja – Behalten, bis : „Firefox geschlossen wird“

Private Daten = Private Daten löschen, wenn Firefox beendet wird / Vor dem Löschen von privaten Daten fragen

folgende Daten entfernen :

1.Chronik von Tab Mix Plus = ja
2.Chronik = ja
3.Download-Chronik = ja
4.Gespeicherte Formulardaten = ja
5.Cache = ja
6.Cookies = ja
7.gespeicherte Passwörter = nein ( ich speichere ohnedies nur die „unwichtigen“)
8.gesicherte Verbindungen = ja

Wenn man mal von dem absieht was XP so alles speichert, speichere ich nix was mir nicht unbedingt notwendig erscheint – in XP „räume“ ich mit Hilfe von anderen Programmen soweit möglich auf und die temporären Einträge z. B. von Downloads über FF beseitige ich „von Hand“ - erstaunlich, obwohl ich eigens ein Verzeichnis für Downloads (ist eine extra Partition) eingerichtet habe, entstehen unerwünschte Doubletten von z. B. PDF-Dateien im Verzeichnis „C:\ Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temp“ .

Ein echtes Sicherheitsrisiko, wenn jemand keine Lust hat sich da auf die Finger schauen zu lassen – aus Gründen wie auch immer. Nun das ist sicher ein eigenes Thema wert – ob allerdings hier im Forum ?

Jetzt noch einige Screenshots (aus CurrPorts) Danke Road-Runner :
(1)
[Blockierte Grafik: http://img524.imageshack.us/img524/3812/barbaiducom02ya8.jpg]

(2)
[Blockierte Grafik: http://img135.imageshack.us/img135/4992/barbaiducom04yd1.jpg]

Hoffentlich einigermaßen lesbar :roll: - jedenfalls wird sichtbar, dass sich das bar.baidu.com praktisch an alles „dranhängt“ was da so TCP „aktiv“ erscheint, einzig die Umleitung zu „hosts“ 127.0.0.1 verhindert die „echte“ Kontaktaufnahme mit bar.baidu.com (so glaube ich jedenfalls).

Nein ich habe wissentlich niemals etwas von denen zugelassen – nun möglich ist das trotzdem im Gefolge eines Programms aus dem Freeware-Bereich. Allerdings nur „gegen meinen Willen“ - aber was zählt der schon im WEB?

Schon mal vielen Dank im Voraus – allein das Lesen ist ja schon Arbeit genug – Danke

Gruß

OdG

Och das mit dem „Safemode“ habe ich doch glatt vergessen – obwohl das schon in Palli´s Liste deutlich gefordert war – sorry – nun hab ich das nachgeholt – leider kein „Verschwinden“ von bar.baidu.com !

Das Ding ist immer noch da, ganz wie die berühmte Sch...hausfliege – da werde ich schon mal dem Hinweis von Heaven_69 nachgehen müssen. Doch das werde ich erst etwas später tun – speziell weil dazu in der Registry rumgesucht werden muss und falls dort was rumhängt, sicher auch einige Änderungen (Löschungen?) notwendig werden. Wie auch immer, dort MUSS es ja sicher sein – wo sonst kann sich so ein absolut verzichtbares Sch...ding sonst aufhalten grrrr....

Mal da nachsehen :

c:\Program Files\baidu (der Vorschlag)
C:\Programme\leider kein baidu oder ähnliches

c:\Documents and Settings\All Users\Application Data\Baidu (der Vorschlag)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\leider kein baidu oder ähnliches

c:\Documents and Settings\All Users\Start Menu\Programs\½­Ãñ¿Æ¼¼¹¤¾ßÀ¸ (der Vorschlag)
C:\Dokumente und Einstellungen\All Users\Startmenü\leider kein baidu oder ähnliches (auch nicht in den dortigen Unterverzeichnisssen)

Eine Suche in XP (ab Arbeitsplatz) erbrachte kein gewünschtes Ergebnis (einige jpg mit dem Namen bar.baidu.com wurden gefunden, aber die habe ich ja selbst so genannt – also auch hier ein Satz mit X ....

Nun doch noch schnell mal eine Suche in der Registry ...... jaaa da find ich etwas auf Anhieb in HKEY_CURRENT_USER „Internet Explorer“ usw.

Bis hierher und nicht weiter – für heute reicht es schon mal – ich werde das morgen neu angehen und alles dokumentieren (falls das jemanden im Detail interessiert – auch veröffentlichen) .

Also nochmal vielen Dank an alle Beteiligten

Gruß

OdG

Wie bereits gestern begonnen, setze ich heute die Suche nach Spuren und Registry-Einträgen zu „bar.baidu.com“ fort (damit folge ich den Empfehlungen des Links, den :

Suche nach (Suchfunktion „erweiterte Optionen (alle)“ im MS-Explorer „Arbeitsplatz“) :

B27AE735.EXE ..... nicht gefunden

InstDll.dll ................ nicht gefunden

BaiduBar.dll ............ nicht gefunden

bdgdins.dll ............... nicht gefunden

b*.exe ..................... nichts „auffälliges“ gefunden

b*.com .................... nichts gefunden

Suche in der XP-Registry mit „RegAlyzer 1.4.00“

Keinen der angegebenen Schlüssel { xxxxxyyyyyzzzz} gefunden

String : „B27AE735.EXE“ gefunden in : (004)

String : „InstDll.dll“ gefunden in : (005)

String : „BaiduBar.dll“ oder „BaiduBar“ nicht gefunden !

String : „bdgdins.dll“ gefunden in : (006)

unter :

Arbeitsplatz\HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

sowie unter :

Arbeitsplatz\HKEY_USERS\S-1-5-21-1844237615-1078145449-1343024091-1004\Software\Microsoft\
Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

Suche nach weiteren Strings :

„baidu“ .......... jein

(findet sich „selbst“ (Suchstring) und Text-Files die von mir selbst erzeugt wurden ( barbaiducom_suchen.txt)

Nun habe ich ALLES was ab .......Internet Explorer\Explorer Bars\ in der Registry eingetragen war gelöscht.

Soweit so gut, keine Störungen etc. nach dem Neustart. CurrPort meldete zunächst keine „bar.baidu.com“ Aktivitäten.

Nach dem Start von FF und/oder TB wurde sofort „bar.baidu.com“ aktiv und stellte über (wechselnde) lokale Ports mehrere „Verbindungen“ zu „remote Ports“ her – da die Remote-Adresse wegen des hosts-Eintrag noch immer 127.0.0.1 ist, geht weiterhin nichts zu „bar.baidu.com“.

Sobald aktiviert, versucht „bar.baidu.com“ auch über anderen Prozesse – z. B. soffic.BIN (gehört zu OpenOffice) „nach Hause zu telefonieren“.

So gesehen existiert das Problem weiterhin.

Werde noch einige andere Programme, wie z. B. „HiJackFree 2.0“ nutzen um meinerseits nicht untätig zu sein. (http://www.emsisoft.com/en/kb/articles…efault.aspx#5.4)

Ansonsten warte ich auf „Erleuchtung“ und Ideen.... :roll:

Gruß

OdG

Lieber Oliver222,

in einer kaum zu überbietenden Arroganz „bietest“ Du Deine Hilfe an - danke – als Laie an den Experten – woraus speisen sich eigentlich Deine Kenntnisse ? Bist Du damit auf die Welt gekommen ? Andere müssen schon mal fragen und die meisten gehören wohl zu den „Anderen“. Falls Du zu dem eher professionellen Lager gehörst, dann muss ich Dich fragen warum sind die Dinge immer so unverständlich – die Antwort die das ahnen lässt, hast Du darauf bereits indirekt gegeben.

Im übrigen habe ich alles was mir vorgeschlagen wurde bereits getan – und wenn nicht, hätte ich durchaus auf einen freundlichen Hinweis reagiert. Da ich allerdings im allgemeinen Pragmatiker bin, werde ich selbstverständlich auch Deine Ratschläge weiterverfolgen. Den einen, dass Ganze neu aufzusetzen, ist sicher eine Möglichkeit, nur dann hätte wohl kaum hier nachfragen müssen (zumal ich dies bereits anfänglich selbst erwähnt habe).

Wäre dies die einzige Option gewesen, hätten mir das wohl Deine freundlicheren Mitstreiter von Anfang an geraten. Das Dich das kalte Grauen überkommt, wenn Du meine Konfiguration so ansiehst, verwunder mich schon – ein Ratschlag was da so grauenhaft ist, wäre möglicherweise sachdienlich gewesen – noch mal vielen Dank für die weniger emotionalen technischen Ratschläge ein erstaunliche Leistung für einen Experten sich dennoch in diese Niederungen zu begeben – hoffentlich wagen es nach solchem Bescheid andere überhaupt noch irgendetwas anzufragen.

Auf weitere „Kaffeekränzchen“ mit Dir möchte ich nun allerdings wirklich ausdrücklich verzichten.

@all

Sollten auch andere dieser Meinung (von Oliver) sein, insbesonders Moderation und Administration, können sie mir das freundlich oder auch nicht per, PN mitteilen – auch ein Rauswurf würde mich nicht wundern, wenn dies hier immer so gehandhabt wird (wofür ich allerdings nach meinem allgemeinen Überblick im Forum keine Begründung oder Hinweis gefunden habe). Wie gesagt, für mich ist diese Angelegenheit erledigt und ich möcht schon aus naheliegenden Gründen dies Sache nicht weiter hier im Forum vertiefen.