Suchmaschinen werden nicht geöffnet!

Edda_cb248a · 5. Oktober 2003 um 19:26

seit gestern weigert sich mein PC die „Google-Seite“ (.de, .com, …) und die „msn-suchseite“ anzuzeigen. Das gilt sowohl füe den IE als auch für den Modzilla-Browser. Ich habe bereits den Cache geleert, hat aber nichts gebracht. Kann mir jemand helfen?
ich habe mir bereits von symantec das Trojan.Qhosts Removal Tool heruntergeladen, es hat aber nichts gefunden! bei mir wird die seite auch nicht, wie beschrieben, umgeleitet sondern einfach nicht geöffnet!
viele grüße

DannyFox64 · 6. Oktober 2003 um 02:27

Hallo Edda!

Erzähl doch mal…

seit gestern weigert sich mein PC die „Google-Seite“ (.de,
.com, …) und die „msn-suchseite“ anzuzeigen. Das gilt sowohl
füe den IE als auch für den Modzilla-Browser. Ich habe bereits
den Cache geleert, hat aber nichts gebracht. Kann mir jemand
helfen?

…wie kamst Du überhaupt auf die Idee, bei Symantec ein Removal-Tool herunter zu laden?

ich habe mir bereits von symantec das Trojan.Qhosts Removal
Tool heruntergeladen, es hat aber nichts gefunden! bei mir
wird die seite auch nicht, wie beschrieben, umgeleitet sondern
einfach nicht geöffnet!
viele grüße

Vielleicht ist ja auch das Windows dran schuld. Vielleicht musst Du einfach nur mal im Windows-Ordner die Datei „HOSTS.“ löschen?! Oh, BTW: Welches Windows benutztst Du denn?

Und jetzt aber mal ganz im Ernst:

Ferndiagnose o.n.A. ist unmöglich.

Gib’ uns doch erst mal ein bisschen Info über Dein (1) Betriebssystem und den Hintergrund, warum Du gleich einen (2) Trojaner vermutest.

Sicher, Windows?! Aber welche Version?
Hast Du bestimmte (De-)Installationen „vorher“, kann ja auch ein paar Tage zurückliegen, gemacht?
Hattest Du auf „wilden Seiten“ gesurft bzw. kam Dir so etwas unter?
Hast Du versehentlich eine Spam-Mail / Anhang geöffnet… (mit welchem Mail-Programm?)?

So, denn,
CU DannyFox64

Edda_cb248a · 6. Oktober 2003 um 06:26

hallo danny,
ich verwende windws xp homeedidition und den internetexplorer 6 bzw. modzilla firebird.ich habe gestern noch opera installiert, funktioniert aber auch nicht?!
mein virenprogramm (antivir) hat vor ein paar tagen „spyworm/ ???“ gefunden und gelöscht.
mein computer wird von meiner familie mitbenutzt, die aber nichts herunterläd!?!?
ich vermute einen trojaner wegen: http://www.heise.de/newsticker/data/dab-02.10.03-000/
in meinem hosts-ordner ist nichts außergewöhnliches drin, hatte ihn auch schon gelöscht!
es betrifft, soweit ich das sehen kann nur suchmaschinen: google, yahoo, msn.

vielen dank für deine hilfe
edda

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Tobias_Migge_3fff6e · 6. Oktober 2003 um 10:14

Ich hatte das gleiche Phänomen (Windows 98 SE, IE6SP1).

in meinem hosts-ordner ist nichts außergewöhnliches drin,
hatte ihn auch schon gelöscht!

Gemeint ist die Datei „Hosts“ (ohne Endung) im Ordner
„C:\Windows“ (unter Windows 98) bzw Windows XP Home „C:\Windows\System32\Drivers\etc“ (Windows XP Home).
Diese hatte bei mir Einträge ohne Ende,
die den Suchmaschinen fest IPs zuwiesen. Ich habe
alle Einträge (ausser localhost) gelöscht, jetzt
spricht Google endlich wieder mit mir…

Tobias

Edda_cb248a · 6. Oktober 2003 um 11:45

hallo tobias,
genau nach diesen einträgen habe ich gesucht aber in meinet datei steht außer localhost nur eine aneitung, wie man etwas einträgt!
Edda

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Edda_cb248a · 6. Oktober 2003 um 14:28

hallo,
ich habe eben noch mal nach „hosts“ suchen lassen und habe im windows/help-ordner eine 2. „hosts datei“ voll mit geänderten suchmaschinenadressen gefunden! nachdem ich diese datei gelöscht habe, funktioniert alles wieder!!!
vielen dank für eure hilfe
edda

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

DannyFox64 · 6. Oktober 2003 um 17:15

Hallo Edda!

[…]

ich vermute einen trojaner wegen:
http://www.heise.de/newsticker/data/dab-02.10.03-000/

[…]

Danke mal für den Link-Tipp.

CU DannyFox64

DannyFox64 · 6. Oktober 2003 um 17:07

DannyFox64 · 6. Oktober 2003 um 17:14

Hallo Edda!!!

Upps!

ich habe eben noch mal nach „hosts“ suchen lassen und habe im
windows/help-ordner eine 2. „hosts datei“ voll mit geänderten
suchmaschinenadressen gefunden! nachdem ich diese datei
gelöscht habe, funktioniert alles wieder!!!

Das ist ja gut!

Doch so wie Du schreibst, hast Du die „HOSTS.“ restlos ins Datennirvana geschickt… Schade, hätte vielleicht Aufschluss über die „Bösen Buben“ gegeben.

Die „erste“ HOSTS-Datei müsste „HOSTS.SAM“ lauten (.sam für ‚sample‘, also ‚Beispiel‘). Sicherheitshalber - das ist meine Meinung - würde ich eine Kopie dieser Beispieldatei als „HOSTS.“ - ohne Dateisuffix - dort ablegen.

vielen dank für eure hilfe
edda

CU DannyFox64

Edda_cb248a · 6. Oktober 2003 um 17:49

Hallo Edda!!!

Upps!

ich habe eben noch mal nach „hosts“ suchen lassen und habe im
windows/help-ordner eine 2. „hosts datei“ voll mit geänderten
suchmaschinenadressen gefunden! nachdem ich diese datei
gelöscht habe, funktioniert alles wieder!!!

Das ist ja gut!

Doch so wie Du schreibst, hast Du die „HOSTS.“ restlos ins
Datennirvana geschickt… Schade, hätte vielleicht Aufschluss
über die „Bösen Buben“ gegeben.

Die „erste“ HOSTS-Datei müsste „HOSTS.SAM“ lauten (.sam für
‚sample‘, also ‚Beispiel‘). Sicherheitshalber - das ist meine
Meinung - würde ich eine Kopie dieser Beispieldatei als
„HOSTS.“ - ohne Dateisuffix - dort ablegen.

vielen dank für eure hilfe
edda

hallo danny,
ich habe die datei noch im papierkorb, hier ein kleiner auszug:

88.88.88.88 elite
207.44.220.30 www.google.akadns.net
207.44.220.30 www.google.com
207.44.220.30 google.com
207.44.220.30 www.altavista.com
207.44.220.30 altavista.com
207.44.220.30 search.yahoo.com
207.44.220.30 uk.search.yahoo.com
207.44.220.30 ca.search.yahoo.com
207.44.220.30 jp.search.yahoo.com
207.44.220.30 au.search.yahoo.com
207.44.220.30 de.search.yahoo.com
207.44.220.30 search.yahoo.co.jp
207.44.220.30 www.lycos.de
207.44.220.30 www.lycos.ca
207.44.220.30 www.lycos.jp
207.44.220.30 www.lycos.co.jp
207.44.220.30 alltheweb.com
207.44.220.30 web.ask.com
207.44.220.30 ask.com
207.44.220.30 www.ask.com
207.44.220.30 www.teoma.com
207.44.220.30 search.aol.com
207.44.220.30 www.looksmart.com
207.44.220.30 auto.search.msn.com
207.44.220.30 search.msn.com
207.44.220.30 ca.search.msn.com
207.44.220.30 fr.ca.search.msn.com
207.44.220.30 search.msn.com.br
207.44.220.30 search.msn.com.hk
207.44.220.30 search.msn.com.my
207.44.220.30 search.msn.com.sg
207.44.220.30 search.msn.com.tw
207.44.220.30 search.msn.co.za
207.44.220.30 search.msn.de
207.44.220.30 search.msn.dk
207.44.220.30 search.msn.es
207.44.220.30 search.msn.fi
207.44.220.30 search.msn.fr
207.44.220.30 search.msn.it
207.44.220.30 search.msn.nl
207.44.220.30 search.msn.no
207.44.220.30 search.msn.se
207.44.220.30 search.ninemsn.com.au
207.44.220.30 search.t1msn.com.mx
207.44.220.30 search.xtramsn.co.nz
207.44.220.30 search.yupimsn.com
207.44.220.30 uk.search.msn.com
207.44.220.30 search.lycos.com
207.44.220.30 www.lycos.com
207.44.220.30 www.google.ca
207.44.220.30 google.ca
207.44.220.30 www.google.uk
207.44.220.30 www.google.co.uk
207.44.220.30 www.google.com.au
207.44.220.30 www.google.co.jp
207.44.220.30 www.google.jp
207.44.220.30 www.google.at
207.44.220.30 www.google.be
207.44.220.30 www.google.ch
207.44.220.30 www.google.de

DannyFox64 · 6. Oktober 2003 um 19:41

Hallo Edda!

hallo danny,
ich habe die datei noch im papierkorb, hier ein kleiner
auszug:

88.88.88.88 elite
207.44.220.30 www.google.akadns.net
207.44.220.30 www.google.com
207.44.220.30 google.com
207.44.220.30 www.altavista.com
207.44.220.30 altavista.com
207.44.220.30 search.yahoo.com
207.44.220.30 uk.search.yahoo.com
[…]
207.44.220.30 www.google.de

Ist ja schier unglaublich! – Was geht da ab?!!
Und vor allem: woher kommt’s?

Mal ganz auf die Schnelle nachgesehen mit ping und tracert kommt dem aber noch nicht so ganz bei. Man müsste die beiden Ziel-Server lokalisieren. Wobei [88.88.88.88] ist höchstwahrscheinlich ein Fake.

tracert.exe (am DOS-Prompt eingeben / Trace-Route = Routen-Verfolgung) ergibt in beiden Fällen:

tracert 88.88.88.88 --> Ziel-Host nicht erreichbar
tracert 207.44.220.30 --> Ziel-Host nicht erreichbar
ping 207.44.220.30 --> meldet Zeitüberschreitung der Anforderung

Sicher hat ja noch ein w-w-w-ler eine Idee / Möglichkeit…
Vielleicht melde ich mich noch x – muss aber erst noch’n bisschen was schaffen. Deswegen sag’ ich schon mal:

CU DannyFox64

C:\\>tracert.exe 88.88.88.88

Route-Verfolgung zu 88.88.88.88 über maximal 30 Abschnitte

 1 180 ms 191 ms 164 ms 217.5.98.93
 2 61 ms 60 ms 60 ms 217.237.152.122
 3 63 ms 61 ms 62 ms MZ-SA1.MZ.DE.net.dtag.de [62.154.40.69]
 4 60 ms 61 ms 62 ms MZ-SB1.MZ.DE.net.dtag.de [62.154.40.66]
 5 62 ms 60 ms 60 ms F-SB4.F.DE.NET.DTAG.DE [62.154.1.21]
 6 60 ms 61 ms 59 ms F-SA4.F.DE.NET.DTAG.DE [62.154.17.10]
 7 F-gw13.F.NET.DTAG.DE [62.154.18.46] meldet: Ziel-Host nicht erreichbar.

Route-Verfolgung beendet.
-----------

C:\\>tracert.exe 207.44.220.30

Route-Verfolgung zu ns1.sitething.net [207.44.220.30]
über maximal 30 Abschnitte:

 1 131 ms 61 ms 138 ms 217.5.98.93
 2 59 ms 59 ms 59 ms 217.237.152.122
 3 61 ms 60 ms 59 ms F-EA1.F.DE.NET.DTAG.DE [62.154.18.22]
 4 61 ms 60 ms 62 ms pos8-0.pr1.fra1.de.mfnx.net [216.200.116.109]
 5 62 ms 62 ms 61 ms so-0-1-0.cr2.fra1.de.mfnx.net [216.200.116.209]

 6 67 ms 68 ms 67 ms pos10-0.mpr1.ams1.nl.above.net [64.125.30.150]
 7 67 ms 67 ms 68 ms pos2-0.cr1.ams2.nl.above.net [208.184.231.54]
 8 75 ms 73 ms 73 ms so-5-0-0.cr1.lhr3.uk.above.net [64.125.31.153]
 9 152 ms 152 ms 152 ms so-7-0-0.cr1.dca2.us.above.net [64.125.31.186]
 10 161 ms 163 ms 163 ms pos3-0.er1.atl4.us.above.net [208.185.0.230]
 11 161 ms 163 ms 162 ms so-0-0-0.cr1.atl2.us.mfnx.net [208.185.0.217]
 12 174 ms 175 ms 174 ms so-3-0-0.mpr1.iah1.us.above.net [64.125.31.25]
 13 175 ms 176 ms 177 ms 216.200.251.61.ev1.net [216.200.251.61]
 14 \* \* \* Zeitüberschreitung der Anforderung.
 15 \* \* \* Zeitüberschreitung der Anforderung.
 16 \* \* \* Zeitüberschreitung der Anforderung.
 17 \* \* 207.218.245.41 meldet: Ziel-Host nicht erreichbar.

Route-Verfolgung beendet.
------------

C:\&gt:stuck\_out\_tongue\_winking\_eye:ing.exe -a 207.44.220.30

PING wird ausgeführt für ns1.sitething.net [207.44.220.30] mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 207.44.220.30:
 Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust),
Ca. Zeitangaben in Millisek.:
 Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms

Sebastian · 6. Oktober 2003 um 22:02

Hallo Edda!

hallo danny,
ich habe die datei noch im papierkorb, hier ein kleiner
auszug:

88.88.88.88 elite
207.44.220.30 www.google.akadns.net
207.44.220.30 www.google.com
207.44.220.30 google.com
207.44.220.30 www.altavista.com
207.44.220.30 altavista.com
207.44.220.30 search.yahoo.com
207.44.220.30 uk.search.yahoo.com
[…]
207.44.220.30 www.google.de

Ist ja schier unglaublich! – Was geht da ab?!!
Und vor allem: woher kommt’s?

Das ist dieser Q-Hosts Virus.

Eine andere(?) Variante hat den Eintrag der DNS-Server verändert. Das ist deutlich raffinierter.

Achso:

**[niehaus@mail1]** telnet whois.thur.de 43
Trying 217.17.193.190...
Connected to whois.thur.de.
Escape character is '^]'.
207.44.220.30
Process query: '207.44.220.30'
Query recognized as IP.
Match found in /etc/gwhois/pattern line 365
Querying whois.arin.net:43 with whois.


OrgName: Everyones Internet, Inc.
OrgID: EVRY
Address: 2600 Southwest Frwy., Suite 500
City: Houston
StateProv: TX
PostalCode: 77098
Country: US

NetRange: 207.44.128.0 - 207.44.255.255
CIDR: 207.44.128.0/17
NetName: EVRY-BLK-11
NetHandle: NET-207-44-128-0-1
Parent: NET-207-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.EV1.NET
NameServer: NS2.EV1.NET
Comment:
RegDate:
Updated: 2002-05-08

TechHandle: RW172-ARIN
TechName: Williams, Randy
TechPhone: +1-713-400-5400
TechEmail: [email protected]

OrgTechHandle: RW172-ARIN
OrgTechName: Williams, Randy
OrgTechPhone: +1-713-400-5400
OrgTechEmail: [email protected]

# ARIN WHOIS database, last updated 2003-10-05 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.


**[niehaus@mail1]** nslookup 207.44.220.30
Server: ns1.kens.com
Address: 209.70.202.35

Name: ns1.sitething.net
Address: 207.44.220.30

Naja, die Kiste ist vom Netz, was sicherlich keine dumme Idee war.

Gruß,

Sebastian

DannyFox64 · 7. Oktober 2003 um 00:17

Hallo Sebastian,

danke für die Mail!

Ist ja schier unglaublich! – Was geht da ab?!!
Und vor allem: woher kommt’s?

Das ist dieser Q-Hosts Virus.

Dann ist ^der^ ja schon seit Ende Sept. 2003 bekannt - oder auch schon länger…

Eine andere(?) Variante hat den Eintrag der DNS-Server
verändert. Das ist deutlich raffinierter.

Achso:

[niehaus@mail1] telnet whois.thur.de 43
Trying 217.17.193.190…
[…]

Naja, die Kiste ist vom Netz, was sicherlich keine dumme Idee
war.

Ja, hätte ich auch so gemacht - und ist mir auch eben erst eingeleuchtet, dass die Kiste wohl innerhalb kürzester Zeit überlastet war…

Dank noch mal und Gruss zurück

CU DannyFox64

Sebastian · 7. Oktober 2003 um 00:45

Naja, die Kiste ist vom Netz, was sicherlich keine dumme Idee
war.

Ja, hätte ich auch so gemacht - und ist mir auch eben erst
eingeleuchtet, dass die Kiste wohl innerhalb kürzester Zeit
überlastet war…

Es müsste garnicht unbedingt die Kiste sein, die Anbindung eben jener dürfte schon deutlich leiden, auch wenn von dort selber keine Nutz-Daten kommen.

Sebastian