Zum Inhalt wechseln


Foto

Microsoft Web Seite nicht erreichbar


  • Bitte melde dich an um zu Antworten
51 Antworten in diesem Thema

#16 Alveran

Alveran

    Newbie

  • 20 Beiträge

 

Geschrieben 08. Januar 2009 - 10:31

Habe mal einen betroffen Rechner an einen anderen Internetanschluß gehangen und versucht die microsoft seite zu öffnen.
Ergebniss wie nicht anders erwartet, geht nicht.
google usw öffnen normal.

Alle anderen Rechner an diesem anschluß können die microsoft seite öffnen. Es ist also absolut auszuschließen das das problem am provider hängt.
Ich glaube auch nicht dran das es am dns cache, gruppenrichtlinien oder sonstigen windows einstellungen oder mtu werten liegt.
Ich denk es es ist ein Virus oder einen abwandlung dessen der die betroffenen seiten zielgerichtet umleitet.

Nur wie dieses kleine mistkerlchen ausfindig machen wenn es kein Scanner findet.

//edit

computer aus der domäne genommen, microsoft geht nicht
computer wieder in die domäne genommen, microsoft geht nicht

wie nicht anders erwartet

#17 djmaker

djmaker

    Board Veteran

  • 3.489 Beiträge

 

Geschrieben 08. Januar 2009 - 11:45

Hmmm,

eventuell kommt ja das in Frage:

heise online - 07.01.09 - Microsoft: Kunden spielen "Russisches Roulette" mit ihren Systemen
Thomas

K.Y.S.S. - Keep Your Signatur Short :)

#18 Herby70

Herby70

    Newbie

  • 15 Beiträge

 

Geschrieben 08. Januar 2009 - 12:43

Hallo Djmaker

Is nicht...
Hab bei F-Secure das removtool runtergeladen und ausgeführt - ohne Erfolg..

Also Russisch Roulett is nicht.. ;o(

Nachtrag:
Geb ich in der Host Datei di IP Adresse zu www.norman.ch ein, so kann ich diese Adresse auch anpingen - Hurra! Allerdings im IE oder FF surfen auf www.norman.ch ist erfolglos - Diese Seite kann nicht angezeigt werden...

Unsere 2 Linux DNS Server sind von dem Problem NICHT betroffen, dafür aber der uralte 2000er Server welcher in vergessenheit geraten ist hat das Problem.

Und immer noch über jeden Strohalm glücklich den man mir geben will!
Danke für Hilfe
Herby

#19 djmaker

djmaker

    Board Veteran

  • 3.489 Beiträge

 

Geschrieben 08. Januar 2009 - 12:51

Postet bitte mal ipconfig /all

EDIT: Hintergrund der Frage ist dieser Virus.

http://forum.kaspers...php/t95015.html
Thomas

K.Y.S.S. - Keep Your Signatur Short :)

#20 Alveran

Alveran

    Newbie

  • 20 Beiträge

 

Geschrieben 08. Januar 2009 - 13:01

Hi,
also bei mir findet er was, kann es aber nicht entfernen.
Bin noch dabei.
Sobald ich was habe gebe ich bescheid.

#21 Herby70

Herby70

    Newbie

  • 15 Beiträge

 

Geschrieben 08. Januar 2009 - 13:30

Hallo Djmaker

Sowas dachte ich auch schon, is aber "leider" auch nicht..

C:\>ipconfig /all

Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : unserexchange01
Primres DNS-Suffix. . . . . . . . : int.unserefirma.com
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : int.unserefirma.com
unserefirma.com

Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : HP NC7782 Gigabit Server Adapter
Physikalische Adresse . . . . . . : 00-11-85-E8-46-B1
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.22.13
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.22.2
DNS-Server . . . . . . . . . . . : 192.168.22.10
192.168.22.11

ABER!!!

Schau mal hier, vorallem das Fett gedruckte!


C:\>ipconfig /displaydns

Windows-IP-Konfiguration

srvsutemp.int.unserefirma.com
----------------------------------------
Eintragsname . . . . . : srvsutemp.int.unserefirma.com
Eintragstyp . . . . . : 1
Gltigkeitsdauer . . . : 1167
Datenlnge . . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag . . . : 192.168.22.11


srvsutemp
----------------------------------------
Eintragsname . . . . . : srvsutemp.int.unserefirma.com
Eintragstyp . . . . . : 1
Gltigkeitsdauer . . . : 1167
Datenlnge . . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag . . . : 192.168.22.11


chdc01.int.unserefirma.com
----------------------------------------
Eintragsname . . . . . : chdc01.int.unserefirma.com
Eintragstyp . . . . . : 1
Gltigkeitsdauer . . . : 2155
Datenlnge . . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag . . . : 192.168.88.10


izevzscbjr.ws
----------------------------------------
Eintragsname . . . . . : izevzscbjr.ws
Eintragstyp . . . . . : 1
Gltigkeitsdauer . . . : 1384
Datenlnge . . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag . . . : 64.70.19.33


Eintragsname . . . . . : ns2.dns.ws
Eintragstyp . . . . . : 1
Gltigkeitsdauer . . . : 1384
Datenlnge . . . . . . : 4
Abschnitt . . . . . . : Weiteres
(Host-)A-Eintrag . . . : 64.70.19.80


Eintragsname . . . . . : ns3.dns.ws
Eintragstyp . . . . . : 1
Gltigkeitsdauer . . . : 1384
Datenlnge . . . . . . : 4
Abschnitt . . . . . . : Weiteres
(Host-)A-Eintrag . . . : 63.251.201.210


Eintragsname . . . . . : ns4.dns.ws
Eintragstyp . . . . . : 1
Gltigkeitsdauer . . . : 1384
Datenlnge . . . . . . : 4
Abschnitt . . . . . . : Weiteres
(Host-)A-Eintrag . . . : 66.150.187.90


Eintragsname . . . . . : ns5.dns.ws
Eintragstyp . . . . . : 1
Gltigkeitsdauer . . . : 1384
Datenlnge . . . . . . : 4
Abschnitt . . . . . . : Weiteres
(Host-)A-Eintrag . . . : 64.70.19.70


Eintragsname . . . . . : ns6.dns.ws
Eintragstyp . . . . . : 1
Gltigkeitsdauer . . . : 1384
Datenlnge . . . . . . : 4
Abschnitt . . . . . . : Weiteres
(Host-)A-Eintrag . . . : 77.92.65.172



1.0.0.127.in-addr.arpa
----------------------------------------
Eintragsname . . . . . : 1.0.0.127.in-addr.arpa.
Eintragstyp . . . . . : 12
Gltigkeitsdauer . . . : 0
Datenlnge . . . . . . : 4
Abschnitt . . . . . . : Antwort
PTR-Eintrag . . . . . : localhost


Da sind sie wieder, die komischen DNS Einträge die ich aber auf keinem DNS Server in unserer Firma finden kann....

THX for Help to all!
Herby

#22 Alveran

Alveran

    Newbie

  • 20 Beiträge

 

Geschrieben 08. Januar 2009 - 14:31

also der scanner f-downadup findet den wurm kann ihn aber nicht löschen
im abgesicherten modus findet er ihn nicht

der scanner fsmrt findet ihn gar nicht

und jetzt?

Laß bitte mal den Scanner f-downadup bei dir durchlaufen.

Gibt es noch andere Programme die das ding entfernen können?

#23 Herby70

Herby70

    Newbie

  • 15 Beiträge

 

Geschrieben 08. Januar 2009 - 15:06

Hallo Alveran

Okay! So wie es aussieht hab ich ihn auch "gefunden" - W32/Downadup nennt sich das Teil, hmm, wie der Scanner halt.. ;o)
Bin nun auf der Suche nach einem Removaltool, da ja leider das f-downadup keinerlei informationen darüber herausgibt wo sich den nun der Wurm versteckt.

Sobald ich mehr weiss, gebe ich bescheid.

Greetings
Herby

#24 Alveran

Alveran

    Newbie

  • 20 Beiträge

 

Geschrieben 08. Januar 2009 - 15:25

Hi,
habe gerade mit GData telefoniert. Die schicken mir jetzt was zu.
Bin mal gespannt.

Bei mir ist der relavante Patch vom Microsoft installiert und ich bekomm das ding trotzdem.
****

#25 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 08. Januar 2009 - 15:43

Zitat aus http://vistablog.fre...indows-update/:
"Auch die Anwender von bereits gepachten Betriebssystemen sollten der vermeintlichen Sicherheit durch das Upadate nur bedingt trauen:
Ist es dem Schädling gelungen, in ein System einzudringen, versucht er sich im Intranet bzw. heimischen Netzwerk breit zu machen, indem er versucht, eine Verbindung mit der sogenannten auf jedem Windows-PC eingerichteten “Administrativen Freigaben” (ADMIN$-Share) aufzubauen (Lexikon). Dabei probiert der Schädling eine ganze Reihe gängiger Standardpasswörter wie beispielsweise “superuser”, “qwerty”, “password” usw. aus (vor deren Verwendung immer und immer wieder gewarnt wird). Auf diesem Weg gelingt es dem Wurm häufig, sich auch auf Rechnern zu verbreiten, auf denen das RPC-Leck bereits verschlossen wurde."
Ich bin S-1-5-XXX-500, ich darf das ...

#26 Herby70

Herby70

    Newbie

  • 15 Beiträge

 

Geschrieben 08. Januar 2009 - 15:47

Hallo Alveran

Hab da n Tool das des Root Kit entfernt.

GMER - Download - COMPUTER BILD

ABER VORSICHT!! Es handelt sich hierbei um einen Svchost.exe Eintrag! NICHT löschen sondern nur Ausschalten!!

Auf der Vista Maschine haben wir das Ding gelöscht - ja, nun fährt Vista nicht mehr hoch..
Auf einem Exchange Server hab ich das Ding "nur" ausgeschalten, der Server funktioniert nun einwandfrei!

Das wars!
Mann ist das ein hartnäckiges Dingens!!

Grüsse an alle
Herby

#27 Alveran

Alveran

    Newbie

  • 20 Beiträge

 

Geschrieben 08. Januar 2009 - 16:08

Top läuft.
Besten Dank

#28 Herby70

Herby70

    Newbie

  • 15 Beiträge

 

Geschrieben 08. Januar 2009 - 16:15

Wir haben auf der Vista Kiste den Dienst mit GMER gelöscht.. Das war ein Fehler!!

- Wenn Du GMER startest macht er gleich einen short Test.
- Wenn er motzt dass ein Root Kit gefunden wurde und ein voller Scan von nöten sei - machs nicht!
- Klick dann den Root Kit an und sag ausschalten!
- Danach machst Du n reboot..
- Nach dem reboot noch ma GMER ausführen und nun einen vollen Scan laufen lassen.
- Dann machst Du regedit auf und gehst zu den Key's die Root Kit angibt.
Normalerweise HKLM - System - CurrentControlSet - Services - Root Kit Name (fpgvi oder so, je nach dem)
- Auf diesem "Verzeichnis" musst Du Dir dann das Recht als Administrator geben und danach noch den Besitz übernehmen - inkl aller unterverzeichnisse
- Dann kannst Du den "Ordner" löschen
- Das selbe dann noch mal im HKLM - System - ControlSet002 - Services - Root Kit Name

Somit ist das Root Kit ein für alle mal wech... ;o)

Hoffe das Hilft!
Bei Fragen steh ich Euch gerne zur Verfügung
Auch danke ich allen die mit hier mit Rat und Tat zur Seite standen! Danke Euch allen!!
Herby

#29 djmaker

djmaker

    Board Veteran

  • 3.489 Beiträge

 

Geschrieben 08. Januar 2009 - 19:19

Wobhei sich hier die (übliche) Frage stellt ob man die Systeme nicht neu installieren sollte. Niemand kann mit Sicherheit sagen ob nicht doch noch ein "Leck" hinterlassen wurde.
Thomas

K.Y.S.S. - Keep Your Signatur Short :)

#30 Gulp

Gulp

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 08. Januar 2009 - 19:39

Nun die korrekte "Reinigung" der svchost dürfte einfach sein:

Das Löschen des folgenden Registry Schlüssels dürfte da abhelfen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\"ServiceDll" = "[PATH OF WORM EXECUTABLE]"

Zudem erhält man hier gleich den Dateipfad geliefert und kann da gleich aufräumen.

Allerdings ist die Frage von djmaker nicht ganz uninteressant. Allein die Tatsache, dass Eure Scanner eine (zumindest bei Symantec) seit 21. November bekannte Malware nicht identifizieren kann, würde mich jegliches Vertrauen in das System (oder die Systeme) verlieren lassen, da absolut nicht gewährleistet ist, dass da nicht noch mehr "Zeugs" herumkriecht. Zumal die Malware auch ein Downloader ist und andere Malware herunter lädt und im System verankert.

So ein System käme bei mir nie um eine Neuinstallation herum, säubern wäre mir da zu riskant.

Grüsse

Gulp
Mein Name ist Homer von Borg! Widerstand ist zw .... Oh Doughnuts!