dex
Big d00d
|
Hallo, ich weiß leider nicht genau, in welches Forum das Topic passt, falls es das Falsche ist, bitte verschieben.
Ich kann wie im Betreff erkennbar auf keine Microsoft Website mehr zugreifen, die microsoft in der URL hat, sprich msdn.microsoft.com, support.microsoft.com, microsoft.at, und so weiter (live.com geht z.B. problemlos). Es wird mir direkt ohne wirkliches Laden gesagt, dass die Seite nicht erreichbar ist und pingen kann ich sie auch nicht. Über mein Tablet komme ich per WLAN aber problemlos auf die Seite drauf, also muss es hier am PC irgendetwas haben. Habe es mit Firefox und IE probiert, aber da ich die Seite nicht einmal pingen kann, wird es mit dem Browser selbst nichts zu tun haben. Ob noch andere Webseiten davon betroffen sind weiß ich nicht, habe jedenfalls bisher keine gefunden, die das gleiche Problem hervorruft.
Hijackthis, Autoruns, Process Explorer und so weiter zeigt nichts außerordentliches an und Sachen wie rebooten etc. halfen auch nichts. Auch ist die hosts-Datei bis auf 127.0.0.1 localhost leer.
Da ich eigentlich nie auf der MS-Seite bin, kann ich nicht genau sagen, seit wann das Problem besteht, habe es vorhin zufällig bemerkt und es stört mich schon etwas. Ich weiß aber, dass es vor 2 Wochen oder so noch funktioniert hat, weil ich auf einer der Support Pages von Microsoft war. Zwischenzeitlich habe ich eigentlich genau garnichts geändert, außer dass ich auf Steam Cities In Motion 2 installiert und League of Legends vorhin gepatcht habe. Kann es mir wirklich nicht erklären, vielleicht weiß ja von euch jemand weiter.
Danke und liebe Grüße
Bearbeitet von dex am 02.03.2014, 16:32
|
Kerni
Big d00d
|
Hi,
Kannst du mal im CMD nslookup microsoft.at ausführen und schauen ob er den namen auflösen kann?
Bzw. kannst du 193.41.201.110 (microsoft.at) anpingen?
|
dex
Big d00d
|
Beim ersten kommt folgendes:
Server: ns1.aon.at
Address: 195.3.96.67
Nicht autorisierte Antwort:
Name: microsoft.at
Address: 193.41.201.110
Beim zweiten kommt "Zeitüberschreitung der Anforderung."
|
Smut
takeover & ether
|
hast definitiv malware drauf.
hast du irgendeinen viren scanner in verwendung?
|
dex
Big d00d
|
Zur Zeit nicht, ich hatte Avira, aber ich war damit nicht wirklich zufrieden. Gibt es denn einen, der sehr schlank und nicht so aufgebläht ist und das System damit "selbst infiziert"?
Achso, mir ist gerade eingefallen - ich hab vor kurzem RaidCall installiert! Habe es von der offiziellen Website bzw. über chip.de runtergeladen.
Bearbeitet von dex am 27.02.2014, 16:00
|
Smut
takeover & ether
|
bei moderner malware reicht es schon wenn du auf youtube unterwegs bist. Du musst dafür auch nichts anklicken oder installieren.
Check dir eset - eine der besten Scanner meiner Einschätzung.
Würde mich aber wundern wenn du auf die Seite kommst.
Testweise kannst du auch mal den DNS auf zb. 8.8.8.8 stellen. Ev hat A1 nur ein Problem mit ihrem DNS.
|
dex
Big d00d
|
Absolut korrekt, komme nicht auf die ESET Seite, oder Avira...das hab ich davon, wenn ich HTTPS bei YouTube nutze :/. Großartig. An A1 kann es denke ich nicht liegen, nachdem es über das Tablet ja funktioniert. Finde es seltsam, dass HiJackThis etc. nichts erkennt, wie läuft das denn ab?
|
Smut
takeover & ether
|
Naja es gibt immer mehr malware die nur auf Österreich spezialisiert ist.
Das braucht etwas bis die Signaturen es in die großen Scanner schaffen.
|
dex
Big d00d
|
Frage mich nur, bei was sich der eingenistet hat, dass man es einfach nirgendwo erkennt.
Denkst du, dass sich das relativ komfortabel wieder richten lassen wird? Wenn ich mir z.B. ESET per Mail schicke und es sich installieren lässt? Werds wohl probieren, wenn ich wieder zuhause bin. Danke für die Hilfestellung.
|
UnleashThebeast
unsäglicher Prolet
|
bevor du was anderes versuchst, schau mal in deine hosts-Datei, ob da Einträge drinnen sind für die angesprochenen Webseiten.
|
InfiX
she/her
|
bevor du was anderes versuchst, schau mal in deine hosts-Datei, ob da Einträge drinnen sind für die angesprochenen Webseiten. Auch ist die hosts-Datei bis auf 127.0.0.1 localhost leer. 
|
UnleashThebeast
unsäglicher Prolet
|
Ups :<
|
dex
Big d00d
|
Ich habe mittlerweile mit tcpview rausgefunden, dass eine svchost.exe (die mit den meisten Diensten) dauernd mehrere Verbindungen ins Internet öffnet. Habe mir den Macafee Stinger per Mail geschickt, kann es aber nicht einmal installieren, weil eben wieder eine Verbindung blockiert wird direkt nach den AGBs :/. Langsam zipft es mich richtig an...
|
-=Willi=-
The Emperor protects
|
Du könntest noch 1. im taskmgr.exe alle verdächtigen Prozesse beenden, 2. in services.msc alle verdächtigen Services beenden und dann nochmal eine Installation versuchen. Tipp für die Services: Services mit englischer Beschreibung/keiner Beschreibung in einem deutschen System sind meistens schon 3rd-party und daher verdächtig  .
|
dex
Big d00d
|
Es gibt keine verdächtigen Prozesse, ich kenne sie alle, die Services ebenso. Der einzige englische ist der NVIDIA Display Driver.
Aktueller Stand:
Ich habe ein paar Einstellungen am Router geändert, zumindest kommen jetzt nicht dauernd neue Verbindungen auf sondern nur teilweise, und die sind alle innerhalb des Netzwerks, sprich es geht alle 192.168.0.x:microsoft-ds nacheinander durch. Auf die Websites kann ich nach wie vor nicht. Habe Google etwas bedient und mir sowohl OTL als auch RogueKiller runtergeladen und laufen gelassen, aber wirklich Sinnvolles kam dabei eher nicht heraus, zumal RogueKiller auch Sachen anzeigt, die dann in der erstellten Log-Datei garnicht aufscheinen.
Habe über Autoruns jetzt noch was gefunden, siehe Bild. Zwei DLLs mit der gleichen Beschreibung, eine ist aber von MS und kommt mir vom Namen her bekannt vor, die andere nicht. Laut Dateieigenschaften gibt es die Datei schon seit x Jahren, aber egal wie oft ich darauf zugreife, es steht immer "Letzter Zugriff: Donnerstag, 13. Februar 2014". Außerdem ist sie schreibgeschützt, was alle anderen nicht sind und das Häckchen bei "versteckt" lässt sich nicht entfernen. Google suckt leider überhaupt nichts Nützliches aus.
Das wirkt für mich schon ziemlich offensichtlich, bin mir aber noch unsicher, ob ich sie einfach löschen soll bzw. geht das so eh nicht, da sie ja in Verwendung ist.
 oc_193008.jpg (downloaded 8x)
|
Anmeldung