Microsoft Web Seite nicht erreichbar

[Alveran 10]

Habe mal einen betroffen Rechner an einen anderen Internetanschluß gehangen und versucht die microsoft seite zu öffnen.

Ergebniss wie nicht anders erwartet, geht nicht.

google usw öffnen normal.

 

Alle anderen Rechner an diesem anschluß können die microsoft seite öffnen. Es ist also absolut auszuschließen das das problem am provider hängt.

Ich glaube auch nicht dran das es am dns cache, gruppenrichtlinien oder sonstigen windows einstellungen oder mtu werten liegt.

Ich denk es es ist ein Virus oder einen abwandlung dessen der die betroffenen seiten zielgerichtet umleitet.

 

Nur wie dieses kleine mistkerlchen ausfindig machen wenn es kein Scanner findet.

 

//edit

 

computer aus der domäne genommen, microsoft geht nicht

computer wieder in die domäne genommen, microsoft geht nicht

 

wie nicht anders erwartet

[djmaker 95]

Hmmm,

 

eventuell kommt ja das in Frage:

 

heise online - 07.01.09 - Microsoft: Kunden spielen "Russisches Roulette" mit ihren Systemen

[Herby70 10]

Hallo Djmaker

 

Is nicht...

Hab bei F-Secure das removtool runtergeladen und ausgeführt - ohne Erfolg..

 

Also Russisch Roulett is nicht.. ;o(

 

Nachtrag:

Geb ich in der Host Datei di IP Adresse zu www.norman.ch ein, so kann ich diese Adresse auch anpingen - Hurra! Allerdings im IE oder FF surfen auf www.norman.ch ist erfolglos - Diese Seite kann nicht angezeigt werden...

 

Unsere 2 Linux DNS Server sind von dem Problem NICHT betroffen, dafür aber der uralte 2000er Server welcher in vergessenheit geraten ist hat das Problem.

 

Und immer noch über jeden Strohalm glücklich den man mir geben will!

Danke für Hilfe

Herby

[djmaker 95]

Postet bitte mal ipconfig /all

 

EDIT: Hintergrund der Frage ist dieser Virus.

 

http://forum.kaspersky.com/lofiversion/index.php/t95015.html

[Alveran 10]

Hi,

also bei mir findet er was, kann es aber nicht entfernen.

Bin noch dabei.

Sobald ich was habe gebe ich bescheid.

[Herby70 10]

Hallo Djmaker

 

Sowas dachte ich auch schon, is aber "leider" auch nicht..

 

C:\>ipconfig /all

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : unserexchange01

Primres DNS-Suffix. . . . . . . . : int.unserefirma.com

Knotentyp . . . . . . . . . . . . : Unbekannt

IP-Routing aktiviert . . . . . . : Nein

WINS-Proxy aktiviert . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : int.unserefirma.com

unserefirma.com

 

Ethernet-Adapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : HP NC7782 Gigabit Server Adapter

Physikalische Adresse . . . . . . : 00-11-85-E8-46-B1

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.22.13

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.22.2

DNS-Server . . . . . . . . . . . : 192.168.22.10

192.168.22.11

 

ABER!!!

 

Schau mal hier, vorallem das Fett gedruckte!

 

 

C:\>ipconfig /displaydns

 

Windows-IP-Konfiguration

 

srvsutemp.int.unserefirma.com

----------------------------------------

Eintragsname . . . . . : srvsutemp.int.unserefirma.com

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1167

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Antwort

(Host-)A-Eintrag . . . : 192.168.22.11

 

 

srvsutemp

----------------------------------------

Eintragsname . . . . . : srvsutemp.int.unserefirma.com

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1167

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Antwort

(Host-)A-Eintrag . . . : 192.168.22.11

 

 

chdc01.int.unserefirma.com

----------------------------------------

Eintragsname . . . . . : chdc01.int.unserefirma.com

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 2155

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Antwort

(Host-)A-Eintrag . . . : 192.168.88.10

 

 

izevzscbjr.ws

----------------------------------------

Eintragsname . . . . . : izevzscbjr.ws

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1384

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Antwort

(Host-)A-Eintrag . . . : 64.70.19.33

 

 

Eintragsname . . . . . : ns2.dns.ws

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1384

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Weiteres

(Host-)A-Eintrag . . . : 64.70.19.80

 

 

Eintragsname . . . . . : ns3.dns.ws

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1384

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Weiteres

(Host-)A-Eintrag . . . : 63.251.201.210

 

 

Eintragsname . . . . . : ns4.dns.ws

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1384

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Weiteres

(Host-)A-Eintrag . . . : 66.150.187.90

 

 

Eintragsname . . . . . : ns5.dns.ws

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1384

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Weiteres

(Host-)A-Eintrag . . . : 64.70.19.70

 

 

Eintragsname . . . . . : ns6.dns.ws

Eintragstyp . . . . . : 1

Gltigkeitsdauer . . . : 1384

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Weiteres

(Host-)A-Eintrag . . . : 77.92.65.172

 

 

1.0.0.127.in-addr.arpa

----------------------------------------

Eintragsname . . . . . : 1.0.0.127.in-addr.arpa.

Eintragstyp . . . . . : 12

Gltigkeitsdauer . . . : 0

Datenlnge . . . . . . : 4

Abschnitt . . . . . . : Antwort

PTR-Eintrag . . . . . : localhost

 

 

Da sind sie wieder, die komischen DNS Einträge die ich aber auf keinem DNS Server in unserer Firma finden kann....

 

THX for Help to all!

Herby

[Alveran 10]

also der scanner f-downadup findet den wurm kann ihn aber nicht löschen

im abgesicherten modus findet er ihn nicht

 

der scanner fsmrt findet ihn gar nicht

 

und jetzt?

 

Laß bitte mal den Scanner f-downadup bei dir durchlaufen.

 

Gibt es noch andere Programme die das ding entfernen können?

[Herby70 10]

Hallo Alveran

 

Okay! So wie es aussieht hab ich ihn auch "gefunden" - W32/Downadup nennt sich das Teil, hmm, wie der Scanner halt.. ;o)

Bin nun auf der Suche nach einem Removaltool, da ja leider das f-downadup keinerlei informationen darüber herausgibt wo sich den nun der Wurm versteckt.

 

Sobald ich mehr weiss, gebe ich bescheid.

 

Greetings

Herby

[Alveran 10]

Hi,

habe gerade mit GData telefoniert. Die schicken mir jetzt was zu.

Bin mal gespannt.

 

Bei mir ist der relavante Patch vom Microsoft installiert und ich bekomm das ding trotzdem.

****

[IThome 10]

Zitat aus http://vistablog.freenet.de/index.php/2009/01/02/rpc-wurm-ueberlistet-windows-update/:

"Auch die Anwender von bereits gepachten Betriebssystemen sollten der vermeintlichen Sicherheit durch das Upadate nur bedingt trauen:

Ist es dem Schädling gelungen, in ein System einzudringen, versucht er sich im Intranet bzw. heimischen Netzwerk breit zu machen, indem er versucht, eine Verbindung mit der sogenannten auf jedem Windows-PC eingerichteten “Administrativen Freigaben” (ADMIN$-Share) aufzubauen (Lexikon). Dabei probiert der Schädling eine ganze Reihe gängiger Standardpasswörter wie beispielsweise “superuser”, “qwerty”, “password” usw. aus (vor deren Verwendung immer und immer wieder gewarnt wird). Auf diesem Weg gelingt es dem Wurm häufig, sich auch auf Rechnern zu verbreiten, auf denen das RPC-Leck bereits verschlossen wurde."

[Herby70 10]

Hallo Alveran

 

Hab da n Tool das des Root Kit entfernt.

 

GMER - Download - COMPUTER BILD

 

ABER VORSICHT!! Es handelt sich hierbei um einen Svchost.exe Eintrag! NICHT löschen sondern nur Ausschalten!!

 

Auf der Vista Maschine haben wir das Ding gelöscht - ja, nun fährt Vista nicht mehr hoch..

Auf einem Exchange Server hab ich das Ding "nur" ausgeschalten, der Server funktioniert nun einwandfrei!

 

Das wars!

Mann ist das ein hartnäckiges Dingens!!

 

Grüsse an alle

Herby

[Alveran 10]

Top läuft.

Besten Dank

[Herby70 10]

Wir haben auf der Vista Kiste den Dienst mit GMER gelöscht.. Das war ein Fehler!!

 

- Wenn Du GMER startest macht er gleich einen short Test.

- Wenn er motzt dass ein Root Kit gefunden wurde und ein voller Scan von nöten sei - machs nicht!

- Klick dann den Root Kit an und sag ausschalten!

- Danach machst Du n reboot..

- Nach dem reboot noch ma GMER ausführen und nun einen vollen Scan laufen lassen.

- Dann machst Du regedit auf und gehst zu den Key's die Root Kit angibt.

Normalerweise HKLM - System - CurrentControlSet - Services - Root Kit Name (fpgvi oder so, je nach dem)

- Auf diesem "Verzeichnis" musst Du Dir dann das Recht als Administrator geben und danach noch den Besitz übernehmen - inkl aller unterverzeichnisse

- Dann kannst Du den "Ordner" löschen

- Das selbe dann noch mal im HKLM - System - ControlSet002 - Services - Root Kit Name

 

Somit ist das Root Kit ein für alle mal wech... ;o)

 

Hoffe das Hilft!

Bei Fragen steh ich Euch gerne zur Verfügung

Auch danke ich allen die mit hier mit Rat und Tat zur Seite standen! Danke Euch allen!!

Herby

[djmaker 95]

Wobhei sich hier die (übliche) Frage stellt ob man die Systeme nicht neu installieren sollte. Niemand kann mit Sicherheit sagen ob nicht doch noch ein "Leck" hinterlassen wurde.

[Gulp 255]

Nun die korrekte "Reinigung" der svchost dürfte einfach sein:

 

Das Löschen des folgenden Registry Schlüssels dürfte da abhelfen:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\"ServiceDll" = "[PATH OF WORM EXECUTABLE]"

 

Zudem erhält man hier gleich den Dateipfad geliefert und kann da gleich aufräumen.

 

Allerdings ist die Frage von djmaker nicht ganz uninteressant. Allein die Tatsache, dass Eure Scanner eine (zumindest bei Symantec) seit 21. November bekannte Malware nicht identifizieren kann, würde mich jegliches Vertrauen in das System (oder die Systeme) verlieren lassen, da absolut nicht gewährleistet ist, dass da nicht noch mehr "Zeugs" herumkriecht. Zumal die Malware auch ein Downloader ist und andere Malware herunter lädt und im System verankert.

 

So ein System käme bei mir nie um eine Neuinstallation herum, säubern wäre mir da zu riskant.

 

Grüsse

 

Gulp