Browser zeigen Websites nicht an obwohl Verbindung steht

[Fluid Byte]

Gestern war noch noch alles wunderbar aber seit heute kann ich keine Websites mit FF oder IE mehr aufrufen. Das merkwürdige ist das sich dies anscheinend nicht auf den HTTP 80 bezieht sondern ausschließlich auf die Browser selbst. Fakt ist das die Verbindung erfolgreich hergestellt ist. Ich kann mit Winamp Internetradio hören, meinen Servertracker aufrufen und COD2 online zocken und ich kann sogar in der PB-Hilfe Links klicken die auch in der Hilfe angezeigt werden. Auch per Konsole "google.de" anzupingen funktioniert tadellos.

Ich hatte vor einiger Zeit ein ähnliches Problem aber da hat ein Trojaner die Browser geblockt und in der Systray ein Fake-Warnsymbol angezeigt welches mich aufforderte "Antivirus"-Software zu installieren. Das kann ich aber wahrscheinlich ausschließen da ich meinen Virenscanner, HijackThis und Spybot über den Rechner hab laufen lassen.

Irgendjemand 'ne Idee?

[X0r]

Oh ja, das Problem hatte ich auch mal. Bei einem Mal hat wieder alles funktioniert, als ich die Firewall deinstalliert habe. Bei nem anderen Mal musste ich Windows neu installieren.

[Fluid Byte]

Völlig kranke Scheiße ...

Irgendwas ist tiersich faul hier. Ich wusste noch vom letzten Virus das diese "Dreckssau" die Namen bekannter Antivirus/Antispyware Programme wie bspw. HijackThis erkennt und diese blockt wenn man sie ausführen will. Ich habe jetzt spaßeshalber "firefox.exe" in "leckmich.exe" unbenannt und es geht!!!

Oh Junge da hab ich mir was eingefangen ...

[hardfalcon]

Dann mal viel Glück bei der Hexenjagd!

[Fluid Byte]

Ok, jetzt habe ich alle mir bekannten Möglichkeiten ausgeschöpft und die Faxen wirklich dicke. Ich glaube nun kann mir nur noch ein erfahrener Sicherheits- bzw. Netzwerkspezialist helfen. Ansonsten bin ich wohl in den Arsch gekniffen und komme um eine Neuinstallation von Windows nicht herum. Ich bin in den letzten Stunden schon fast zur Vermutung gekommen das mein System defekt sei anstatt das es sich hier um einen Trojaner oder ähnliches handelt. Das vermutete ich deswegen weil nach umbennen von "firefox.exe" zu "firefox1.exe" ich wieder normal surfen konnte. Allerdings lassen sich dann viele sicherheitsrelevante Seiten nicht mehr aufrufen:

- http://v4.windowsupdate.microsoft.com/
- http://update.microsoft.com/windowsupda ... aspx?ln=de
- http://www.windowsupdate.com/
- http://windowsupdate.microsoft.com/
- http://www.lavasoft.de/ (Ad-Aware)
- http://www.safer-networking.org/ (Spybot S&D)
- http://www.trendsecure.com/portal/en-US ... ckthis.php (HijackThis Download)
- http://www.majorgeeks.com/download5554.html (HijackThis Download)

Es ist ein absoluter Wink des Schicksals das ich überhaupt noch surfen kann denn:

1.) hätte ich nicht einige Wochen vorher einen Virus gehabt der Anwendungen blockt und diese nur ausführt wenn man sie umbennent und

2.) ich nicht Firefox als Alternativ-Browser installiert und umbenannt hätte (IE lässt sich nicht umbennen)

wäre ich wohl schon seit Stunden damit beschäftigt Windows neu zu installieren, einzurichten und diverse Software aufzuspielen.

Hier mal eine kleine Zusammenfassung der Dinge die ich ausprobiert habe:

• HijackThis: kein Fund (alles was trotzdem auch nur ansatzweise verdächtig war hab' ich platt gemacht, ohne Ergebnis)
• Spybot S&D: ist installiert aber es lassen sich keine Updates ziehen und ist somit nutzlos (wird mit großer Wahrscheinlichkeit ebenfalls vom Trojaner geblockt)
• Windows Firewall ohne Ausnamen aktiviert / komplett deaktiviert: ohne jeglichen Effekt
• AntiVir (PersonalEditon): kein Fund (kompletter Systemscan)
• Lavasoft Ad-Aware: kein Fund
• Windows im "abgesicherten Modus" gestartet: Browser sind immer noch geblockt und diverse Seiten lassen sich nicht aufrufen
• Prozessliste im Taskmanager analysiert: absolut nichts gefunden was auch nur im entferntesten verdächtig wäre. Jeder Prozess wurde im Netz auf seine Funktion recherchiert. Eventuelle Trojaner die sich unter einem bekannten Prozessnamen tarnen wurden auch nicht gefunden.
• Unter "Verwaltung" alle Dienste auf verdächtige Einträge überprüft, ohne Ergebnis

Wie ich bereits erwähnte wird die Verbindung erfolgreich hergestellt und ich kann bspw. Internetradio hören, online zocken oder IM-Programme verwenden. Lediglich das Aufrufen von Websites in Browsern funktioniert nicht mehr. Außerdem ist mir aufgefallen, obwohl ich nach umbennen der "firefox.exe" wieder surfen kann läuft alles nur sehr träge. Wenn ich zum Beispiel google.de aufrufe braucht es einige Sekunden bis die Seite angezeigt wird was normalweise fast in Echtzeit passiert. Allerdings kann ich wohl auschließen das jemand meine Internetverbindung missbraucht oder sonst wie auf meinen Computer zugreift den die Downloads funktionieren zu jeder Zeit mit maximaler Geschwindigkeit.

Falls jemand auch nur den Hauch einer Ahnung hat was hier abgeht soll er es mich bitte wissen lassen!

[cxAlex]

Das du diese Seiten nicht mehr aufrufen kannst könnte daran liegen das der Virus sie in die Windows-Hosts-Datei eingetragen hat und auf irgenteine sinnlose IP umlenkt.

Die Hosts-Datei liegt in %WinDir%\system32\drivers\etc\ und heist einfach "hosts" ohne Dateiendung. Sieh mal nach ob da irgentwas eingetragen ist. Normalerweise sieht die host Datei so aus:

Code: Alles auswählen

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost

Sonst nachdem was du da schreibst könnte es sein das du dir einen Trojaner eingfangen hast der einen Rootkit benutzt. So können deine Virescanner dern Tojaner gar nicht finden, weil der Rootkit jedes Anzeichen für seine Existenz bereits vorher rausfilter. Wenns ein Kernel-Rootkit ist arbeitet es sogar auf Kernel-Ebene und da kann gar kein Prog mehr zugreifen. Mit BlackLight solltest du prüfen können ob du einen Rootkit hast.

[Fluid Byte]

Die "host" Datei sieht exakt so aus wie du es gepostet hast.

Was BlackLight angeht, leider ohne jedes Ergebnis. "Lustigerweise" wird die Seite www.f-secure.com ebenfalls geblockt ...

Man müsste mal in Erfahrung bringen was für Möglichkeiten ein Virus noch hat um ganz gezielt bestimmte Seiten zu blocken.

[milan1612]

Okay, nur so eine Idee: Leg doch mal deine Windows XP CD ein und boote von ihr,
wähl dann die Wiederherstellungskonsole und log dich da ein (Adminpasswort!).
Schreib "fixmbr" und bestätige. Das sollte eigentlich jeden Bootsektorvirus "abtöten"...

(Vorsicht falls du mehrere OS installiert hast, das zerstört eventuelle Bootloader)

EDIT: Und kuck dir mal das an, lass das Programm mal durchlaufen und zeig die Liste gefundener Einträge her...

[Fluid Byte]

Okay, nur so eine Idee: Leg doch mal deine Windows XP CD ein und boote von ihr,
wähl dann die Wiederherstellungskonsole und log dich da ein (Adminpasswort!).
Schreib "fixmbr" und bestätige. Das sollte eigentlich jeden Bootsektorvirus "abtöten"...

(Vorsicht falls du mehrere OS installiert hast, das zerstört eventuelle Bootloader)

Hab ich noch nicht ausbrobiert aber schon mal Danke für den Tipp!

EDIT: Und kuck dir mal das an, lass das Programm mal durchlaufen und zeig die Liste gefundener Einträge her...

Ich hab mir das Tool vorhin runtergeladen und einen Scan ausgeführt. In den ersten Sekunden werden einige Einträge ausgelistet aber danach bleibt er bei "Scanning HKLM\SYSTEM\WPA\Starter" hängen. Er friert nicht ein oder so aber es passiert einfach nichts mehr danach. Deshalb poste ich schon mal die bisherigen Ergebnise als Screenshot:



Was hier auffällt sind viele Einträge mit dem Namen "TDSServ". Wie ich gleich vermutete ist das nicht ganz koscher. Ich habe gegooglet um meinen Verdacht zu bestätigen und dabei folgende Seite gefunden:

http://www.exterminate-it.com/malpedia/remove-tdsserv

Auf dieser Seite heißt es unter anderem:

PC is working very slowly
TDSServ can seriously slow down your computer. If your PC takes a lot longer than normal to restart or your Internet connection is extremely slow, your computer may well be infected with TDSServ

Außerdem wird auf der Seite klar bestätigt das es sich hier tatsächlich um Rootkit-Virus handelt.

Falls das nicht nur Überbleibsel des letzten Virus sind und ich den PC säubern bzw. dann wieder normal surfen kann, bedanke ich mich schon mal im voraus.

[Fluid Byte]

Es war wohl zu einfach als das es hätte klappen können ...

Der TDSServ Trojaner war es leider nicht. Von ca. 30 Registry Einträgen waren nur noch zwei übrig. Außerdem wurde keine einzige dazugehörige Datei gefunden und das ware dutzende. Ich habe nochmal gegooglet und folgenden Link gefunden:

http://www.zdnet.de/security/praxis/0,3 ... 0-1,00.htm

Ich habe mir alle darin erwähnten Tools runtergeladen und installiert. Keines der Tools weist vorzeigbare Ergenise vor, außer ein paar Tracking Cookies. Das einzige was vielleicht interessant wäre ist die Ausgabe vom RootKit Hook Analyzer:


Kann damit einer was anfangen? Ist das gut oder böse?

Außerdem, kann mir jemand noch etwas zu der Ausgabe vom RootkitRevealer sagen? Wie soll ich weiter vorgehen?