Nochmal wegen meinem Internetzugang

blum_stephan · 30. Oktober 2003 um 07:33

Hi Leute, hallo Malte,
habe jetzt die Präzisen Antworten auf die Fragen:
NSLOOKUP www.google.de
SERVER dns6.arcor-ip.de
ADRESSE 145.253.2.196
NICHT AUTHORISIERTE ANTWORT
NAME www.google.de.akadns.net
ADRESSE 216.239.59.99
ALIAS www.google.de

NSLOOKUP www.crowdserver.org
SERVER dns6.arcor-ip.de
ADRESSE 145.253.2.196
NICHT AUTHORISIERTE ANTWORT
NAME www.crowdserver.org
ADRESSE 80.86.187.12

PINGwww.crowdserver.org ergab Meldung: Unbekannter Host!
dagegen wenn ich die IP von www.crowdserver.org anpinge gibts keine Zeitüberschreitungen!?! (warum auch immer!)

IPCONFIG -ALL
Windows IP Konfiguration
HOST meine IP
PRIMÄRE DNS ( )
KNOTENTYP BROADCASTADAPTER
IP-ROUTING nein
WINS PROXY nein

PPP-ADAPTER
BEschreibung WAN(PPP/SLIP) INTERFACE
PHYSIK ADRESSE (eine 9stellige Zahl)
DHCP nein
IP 145.254.207.42
SUBNETM 255.255.255.255
STANDARTGATEW 145.254.207.42
DNS 145.253.2.196
145.253.2.81
Mir fiel auch auf, das wenn ich die durch NSLOOKUP aufgelöste IP im Browser eingab, ich die Seite sehen konnte!
Als wenn die DNS Auflösung, welche ja eigentlich der Provider „gewährleistet“, nicht funktioniert.
Ich jetzt sehr ratlos!!!

Danke für Euer Interesse!

Ahoi
Stephan

michi_m_ller · 30. Oktober 2003 um 11:20

hi,

DNS 145.253.2.196
145.253.2.81
Mir fiel auch auf, das wenn ich die durch NSLOOKUP aufgelöste
IP im Browser eingab, ich die Seite sehen konnte!
Als wenn die DNS Auflösung, welche ja eigentlich der Provider
„gewährleistet“, nicht funktioniert.
Ich jetzt sehr ratlos!!!

ich glaube das es nicht an der auflösung der dns server
145.253.2.196 und 145.253.2.81 liegt denn die lösen richtig auf.

ich kann die seite auch ohne probs erreichen.

wenn ich dich richtig verstehe, hast du das prob, das dein browser die seite nicht anzeigen kann und auch der ping funzt nicht oder?

teste mal mit nem tracert bis wo hin du kommst (tracert www.crowdserver.org)

dann kannst du noch
den server und die ip in der hosts datei eintragen und testen ob es dann funzt.

grüße

michi müller

DannyFox64 · 30. Oktober 2003 um 11:35

Re: Nochmal wegen IP-Umleitung!

Hi Leute, hallo Malte,

Halllo Stephan!

habe jetzt die Präzisen Antworten auf die Fragen:

…fein!

Mir fiel auch auf, das wenn ich die durch NSLOOKUP aufgelöste
IP im Browser eingab, ich die Seite sehen konnte!

…aber normale Eingaben wie „http://www.wer-weiss-was.de/“ führen Dich immer noch ins Leere oder auf eine falsche Seite?

Als wenn die DNS Auflösung, welche ja eigentlich der Provider
„gewährleistet“, nicht funktioniert.
Ich jetzt sehr ratlos!!!

Wenn der Trojaner „QHosts“ Dich daran hindert, Seiten korrekt anzusteuern, dann musst Du unterbinden, dass der Web-Browser eine falsche IP von Windows angewiesen bekommt… damit Du den Patch von Microsoft (so er denn funzt) auch einspielen kannst…

Dazu zuerst einmal eine kurze Batch-Lösung, die die Datei „HOSTS.“ (oder eine Kopie davon) in kurzen Abständen immer wieder auf Null setzt!
_{Die Grösser-Als-Zeichen hier im Skript am Anfang(!) der Zeilen musst Du entfernen, ggf. die Pfade anpassen… (Doppelpunkte definieren in Batches Sprungmarken oder werden zum Kommentieren verwendet. Hier im Forum leiten sie sonst einen Kommentar ein…)}

\> @echo off
\> rem delhosts.bat
\> rem Notloesung: Loescht "HOSTS."
\> :Loop
\> if exist hosts. echo # \>hosts.
\> choice /n /c:LX /t:L,3
\> if errorlevel 2 goto Exit
\> if errorlevel 1 goto Loop
\> echo Fehler: CHOICE nicht verfuegbar
\> pause
\> goto Loop
\> :Exit

Sollte der choice-Befehl nicht verfügbar sein, dann alternativ folgende Schleife:

\> for %%a in (\*.\*) do echo %%a
\> goto Loop

Da Du ggf. nicht die Seite --> http://www.sophos.de/virusinfo/analyses/trojqhosts1… angezeigt bekommst, hier die wesentliche Info davon:

Das VB-Skript legt die Datei aolfix.exe im temporären Ordner des Benutzers ab und startet sie. Aolfix.exe ist eine Windows-Batchdatei, die mit Hilfe einer Demo-Version des Programms Batch File Compiler V5.1 in das Windows Binärprogramm konvertiert wird. Aolfix.exe erstellt den versteckten Ordner bdtmp\tmp, extrahiert eine Batchdatei mit einem zufälligen Namen und startet die Batchdatei.

Die Batchdatei erstellt mehrere Dateien im Windows-Ordner. Die Datei Hosts ist für das Einklinken in den Internet Explorer verantwortlich. Troj/Qhosts-1 kopiert die Datei HOSTS in den Ordner \Help und fügt die originale HOST-Datei an sie an.

Der Trojaner ändert die Registrierungswerte

HKLM\System\ControlSet001\Services\Tcpip\ Parameters\DataBasePath and

HKLM\System\ControlSet002\Services\Tcpip\ Parameters\DataBasePath

Dadurch verwendet das System die Trojanerkopien der HOSTS-Dateien. Es gibt wenig bekannte Varianten des Trojaners. Je nach der Variante, kann der Trojaner auch andere Registrierungswerte setzen… [und ab da wird es echt wild…]

So, vielleicht kannst Du Dir damit „weiterhelfen“.
Wenn der Trojaner wie oben beschrieben agiert, dann brauchst Du im Ordner %windows%\Help den Batch, der „HOSTS“ zurücksetzt. Hoffe, dass nicht „die wilde Version“ auf Deiner Kiste ist!

Danke für Euer Interesse!

Ahoi
Stephan

Salve!

CU DannyFox64

blum_stephan · 30. Oktober 2003 um 11:47

Hey…wow…werde ich mal ausprobieren!!

Dake Dir!

Stephan

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

DannyFox64 · 30. Oktober 2003 um 12:05

Moin-Moin!

Hey…wow…werde ich mal ausprobieren!!
Dake Dir!
Stephan

…noch eine Bitte:

Nicht immer den kompletten Thread (und gar noch am Stück) zitieren! Da blickt hinterher keiner mehr durch - und der Zusammenhang geht verloren.

Es reicht, nur das zu zitieren, worauf es ankommt… der Thread ist ja zum exakten vollständigen Nachlesen noch vorhanden. (Und bei kurzen Antworten braucht man schier gar nix zu zitieren…

CU DannyFox64