Jump to content

Microsoft Web Seite nicht erreichbar


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Habe mal einen betroffen Rechner an einen anderen Internetanschluß gehangen und versucht die microsoft seite zu öffnen.

Ergebniss wie nicht anders erwartet, geht nicht.

google usw öffnen normal.

 

Alle anderen Rechner an diesem anschluß können die microsoft seite öffnen. Es ist also absolut auszuschließen das das problem am provider hängt.

Ich glaube auch nicht dran das es am dns cache, gruppenrichtlinien oder sonstigen windows einstellungen oder mtu werten liegt.

Ich denk es es ist ein Virus oder einen abwandlung dessen der die betroffenen seiten zielgerichtet umleitet.

 

Nur wie dieses kleine mistkerlchen ausfindig machen wenn es kein Scanner findet.

 

//edit

 

computer aus der domäne genommen, microsoft geht nicht

computer wieder in die domäne genommen, microsoft geht nicht

 

wie nicht anders erwartet

Link zu diesem Kommentar

Hallo Djmaker

 

Is nicht...

Hab bei F-Secure das removtool runtergeladen und ausgeführt - ohne Erfolg..

 

Also Russisch Roulett is nicht.. ;o(

 

Nachtrag:

Geb ich in der Host Datei di IP Adresse zu www.norman.ch ein, so kann ich diese Adresse auch anpingen - Hurra! Allerdings im IE oder FF surfen auf www.norman.ch ist erfolglos - Diese Seite kann nicht angezeigt werden...

 

Unsere 2 Linux DNS Server sind von dem Problem NICHT betroffen, dafür aber der uralte 2000er Server welcher in vergessenheit geraten ist hat das Problem.

 

Und immer noch über jeden Strohalm glücklich den man mir geben will!

Danke für Hilfe

Herby

Link zu diesem Kommentar

Hallo Djmaker

 

Sowas dachte ich auch schon, is aber "leider" auch nicht..

 

C:\>ipconfig /all

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : unserexchange01

Primres DNS-Suffix. . . . . . . . : int.unserefirma.com

Knotentyp . . . . . . . . . . . . : Unbekannt

IP-Routing aktiviert . . . . . . : Nein

WINS-Proxy aktiviert . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : int.unserefirma.com

unserefirma.com

 

Ethernet-Adapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : HP NC7782 Gigabit Server Adapter

Physikalische Adresse . . . . . . : 00-11-85-E8-46-B1

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.22.13

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.22.2

DNS-Server . . . . . . . . . . . : 192.168.22.10

192.168.22.11

 

ABER!!!

 

Schau mal hier, vorallem das Fett gedruckte!

 

 

C:\>ipconfig /displaydns

 

Windows-IP-Konfiguration

 

srvsutemp.int.unserefirma.com

----------------------------------------

Eintragsname . . . . . : srvsutemp.int.unserefirma.com

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1167

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Antwort

(Host-)A-Eintrag . . . : 192.168.22.11

 

 

srvsutemp

----------------------------------------

Eintragsname . . . . . : srvsutemp.int.unserefirma.com

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1167

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Antwort

(Host-)A-Eintrag . . . : 192.168.22.11

 

 

chdc01.int.unserefirma.com

----------------------------------------

Eintragsname . . . . . : chdc01.int.unserefirma.com

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 2155

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Antwort

(Host-)A-Eintrag . . . : 192.168.88.10

 

 

izevzscbjr.ws

----------------------------------------

Eintragsname . . . . . : izevzscbjr.ws

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1384

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Antwort

(Host-)A-Eintrag . . . : 64.70.19.33

 

 

Eintragsname . . . . . : ns2.dns.ws

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1384

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Weiteres

(Host-)A-Eintrag . . . : 64.70.19.80

 

 

Eintragsname . . . . . : ns3.dns.ws

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1384

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Weiteres

(Host-)A-Eintrag . . . : 63.251.201.210

 

 

Eintragsname . . . . . : ns4.dns.ws

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1384

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Weiteres

(Host-)A-Eintrag . . . : 66.150.187.90

 

 

Eintragsname . . . . . : ns5.dns.ws

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1384

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Weiteres

(Host-)A-Eintrag . . . : 64.70.19.70

 

 

Eintragsname . . . . . : ns6.dns.ws

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1384

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Weiteres

(Host-)A-Eintrag . . . : 77.92.65.172

 

 

1.0.0.127.in-addr.arpa

----------------------------------------

Eintragsname . . . . . : 1.0.0.127.in-addr.arpa.

Eintragstyp . . . . . : 12

Gltigkeitsdauer . . . : 0

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Antwort

PTR-Eintrag . . . . . : localhost

 

 

Da sind sie wieder, die komischen DNS Einträge die ich aber auf keinem DNS Server in unserer Firma finden kann....

 

THX for Help to all!

Herby

Link zu diesem Kommentar

Hallo Alveran

 

Okay! So wie es aussieht hab ich ihn auch "gefunden" - W32/Downadup nennt sich das Teil, hmm, wie der Scanner halt.. ;o)

Bin nun auf der Suche nach einem Removaltool, da ja leider das f-downadup keinerlei informationen darüber herausgibt wo sich den nun der Wurm versteckt.

 

Sobald ich mehr weiss, gebe ich bescheid.

 

Greetings

Herby

Link zu diesem Kommentar

Zitat aus http://vistablog.freenet.de/index.php/2009/01/02/rpc-wurm-ueberlistet-windows-update/:

"Auch die Anwender von bereits gepachten Betriebssystemen sollten der vermeintlichen Sicherheit durch das Upadate nur bedingt trauen:

Ist es dem Schädling gelungen, in ein System einzudringen, versucht er sich im Intranet bzw. heimischen Netzwerk breit zu machen, indem er versucht, eine Verbindung mit der sogenannten auf jedem Windows-PC eingerichteten “Administrativen Freigaben” (ADMIN$-Share) aufzubauen (Lexikon). Dabei probiert der Schädling eine ganze Reihe gängiger Standardpasswörter wie beispielsweise “superuser”, “qwerty”, “password” usw. aus (vor deren Verwendung immer und immer wieder gewarnt wird). Auf diesem Weg gelingt es dem Wurm häufig, sich auch auf Rechnern zu verbreiten, auf denen das RPC-Leck bereits verschlossen wurde."

Link zu diesem Kommentar

Hallo Alveran

 

Hab da n Tool das des Root Kit entfernt.

 

GMER - Download - COMPUTER BILD

 

ABER VORSICHT!! Es handelt sich hierbei um einen Svchost.exe Eintrag! NICHT löschen sondern nur Ausschalten!!

 

Auf der Vista Maschine haben wir das Ding gelöscht - ja, nun fährt Vista nicht mehr hoch..

Auf einem Exchange Server hab ich das Ding "nur" ausgeschalten, der Server funktioniert nun einwandfrei!

 

Das wars!

Mann ist das ein hartnäckiges Dingens!!

 

Grüsse an alle

Herby

Link zu diesem Kommentar

Wir haben auf der Vista Kiste den Dienst mit GMER gelöscht.. Das war ein Fehler!!

 

- Wenn Du GMER startest macht er gleich einen short Test.

- Wenn er motzt dass ein Root Kit gefunden wurde und ein voller Scan von nöten sei - machs nicht!

- Klick dann den Root Kit an und sag ausschalten!

- Danach machst Du n reboot..

- Nach dem reboot noch ma GMER ausführen und nun einen vollen Scan laufen lassen.

- Dann machst Du regedit auf und gehst zu den Key's die Root Kit angibt.

Normalerweise HKLM - System - CurrentControlSet - Services - Root Kit Name (fpgvi oder so, je nach dem)

- Auf diesem "Verzeichnis" musst Du Dir dann das Recht als Administrator geben und danach noch den Besitz übernehmen - inkl aller unterverzeichnisse

- Dann kannst Du den "Ordner" löschen

- Das selbe dann noch mal im HKLM - System - ControlSet002 - Services - Root Kit Name

 

Somit ist das Root Kit ein für alle mal wech... ;o)

 

Hoffe das Hilft!

Bei Fragen steh ich Euch gerne zur Verfügung

Auch danke ich allen die mit hier mit Rat und Tat zur Seite standen! Danke Euch allen!!

Herby

Link zu diesem Kommentar

Nun die korrekte "Reinigung" der svchost dürfte einfach sein:

 

Das Löschen des folgenden Registry Schlüssels dürfte da abhelfen:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\"ServiceDll" = "[PATH OF WORM EXECUTABLE]"

 

Zudem erhält man hier gleich den Dateipfad geliefert und kann da gleich aufräumen.

 

Allerdings ist die Frage von djmaker nicht ganz uninteressant. Allein die Tatsache, dass Eure Scanner eine (zumindest bei Symantec) seit 21. November bekannte Malware nicht identifizieren kann, würde mich jegliches Vertrauen in das System (oder die Systeme) verlieren lassen, da absolut nicht gewährleistet ist, dass da nicht noch mehr "Zeugs" herumkriecht. Zumal die Malware auch ein Downloader ist und andere Malware herunter lädt und im System verankert.

 

So ein System käme bei mir nie um eine Neuinstallation herum, säubern wäre mir da zu riskant.

 

Grüsse

 

Gulp

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...