Hallo,
also ich schließe ein Hijacker/Trojaner Problem zu 99,9% aus. Das einzige was mir noch einfallen würde wäre ein Problem von Seiten deines ISPs, erreichst du google wenn du 216.239.59.104 im Browser aufrufst?


Grüße Wildone

Hi,

ja ich erreiche google, wenn ich eine Ip-Adresse eingebe. Problem ISP würde ich ausschliessen, weil es bei einem anderen Rechner im Netzwerk funktioniert und der schließlich die selbe Verbindung nutzt.

Die unterschiedlichen DNS-Server, die ich getestet habe, sind von verschiedenen ISP. Weiterhin ist die Namensauflösung (nslookup) in der DOS-Konsole erfolgreich. Lediglich über den Browser scheint es nicht zu funktionieren.

Atze

Hallo,

Zitat:

ja ich erreiche google, wenn ich eine Ip-Adresse eingebe. Problem ISP würde ich ausschliessen, weil es bei einem anderen Rechner im Netzwerk funktioniert und der schließlich die selbe Verbindung nutzt.

Stimmt, vergesse ich immerwieder bei der Analyse.

Zitat:

Die unterschiedlichen DNS-Server, die ich getestet habe, sind von verschiedenen ISP.

Wäre mein nächster Ansatz gewesen...

Zitat:

Weiterhin ist die Namensauflösung (nslookup) in der DOS-Konsole erfolgreich. Lediglich über den Browser scheint es nicht zu funktionieren.

Es scheint aber auf jedenFall irgendwie mit den DNS Einstellungen zusammen zu hängen, aber jetzt klinke ich mich endgültig aus, wie gesagt, vielleicht weiß jemand anderes mehr, aber hier sind nun mal eher Viren/Trojanerexperten beheimatet.



Grüße Wildone

Hallo,

poste doch mal ein SilentRunner-Protokoll.

hxxp://virus-protect.org/silentrunner.html

Hi aspaul,

hier ist der Log. Der Log ist allerdings nicht von dem Rechner, von dem ich heute morgen die Log's erstellt habe. Dies ist jetzt der Rechner der neu installiert wurde. Wenn das zu verwirrungen führen sollte, dann kann ich morgen gerne von dem anderen Rechner ein Log erstellen. Der Fehler tritt auf beiden Rechnern auf (siehe oben). Was mich am meisten wundert ist die Tatsache, daß es eben auch bei diesem recht jungfräulichen System so ist, obwohl ich zuvor die Festplatte mittels "wipe" gelöscht habe und anschließend neu patitioniert habe. Alles sehr sonderbar.

Persönliche Einträge sind durch "***" zensiert!

"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Personal ID" = "C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE" ["coolspot AG"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"avgnt" = ""C:\Programme\AntiVir Workstation\avgnt.exe" /min" ["Avira GmbH"]
"NeroCheck" = "C:\WINDOWS\system32\\NeroCheck.exe" ["Ahead Software Gmbh"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{601ED020-FB6C-11D3-87D8-0050DA59922B}\(Default) = "Ipswitch.WsftpBrowserHelper"
-> {HKLM...CLSID} = "WsftpBrowserHelper Class"
\InProcServer32\(Default) = "C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll" ["Ipswitch, Inc. 10 Maguire Road - Suite 220 Lexington, MA 02421"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir Workstation\shlext.dll" ["H+BEDV Datentechnik GmbH"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir Workstation\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
WS_FTP\(Default) = "{797F3885-5429-11D4-8823-0050DA59922B}"
-> {HKLM...CLSID} = "RtClkCtxMenu Class"
\InProcServer32\(Default) = "C:\Programme\Ipswitch\WS_FTP Pro\wsftpsi.dll" ["Ipswitch, Inc. 10 Maguire Road - Suite 220 Lexington, MA 02421"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir Workstation\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
WS_FTP\(Default) = "{797F3885-5429-11D4-8823-0050DA59922B}"
-> {HKLM...CLSID} = "RtClkCtxMenu Class"
\InProcServer32\(Default) = "C:\Programme\Ipswitch\WS_FTP Pro\wsftpsi.dll" ["Ipswitch, Inc. 10 Maguire Road - Suite 220 Lexington, MA 02421"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "***" & "All Users" startup folders:
-----------------------------------------------------

C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart
"Verknüpfung mit medien" -> shortcut to: "\\***\login-skript\medien.bat" [** WMI GetObject error **]
"Verknüpfung mit ***" -> shortcut to: "\\***\login-skript\***.bat" [** WMI GetObject error **]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader Speed Launch" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"ISDNWatch" -> shortcut to: "C:\Programme\FRITZ!\IWatch.exe" ["AVM Berlin"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"Mobile User VPN" -> shortcut to: "C:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe" ["SafeNet"]
"Verknüpfung mit all_user" -> shortcut to: "\\***\login-skript\all_user.bat" [** WMI GetObject error **]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
avsda.dll ["H+BEDV Datentechnik GmbH"], 01 - 02, 08
%SystemRoot%\system32\mswsock.dll [MS], 03 - 05, 09 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 06 - 07


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 3 domain names to IP addresses,
2 of the IP addresses are *not* localhost!


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Windows Workstation Guard, AntiVirService, "C:\Programme\AntiVir Workstation\avguard.exe" ["AVIRA GmbH"]
AntiVir Windows Workstation MailGuard, AntiVirMailService, "C:\Programme\AntiVir Workstation\avmailc.exe" ["Avira GmbH"]
AntiVir Windows Workstation MailGuard Hilfsdienst, AVEService, "C:\Programme\AntiVir Workstation\avesvc.exe" ["Avira GmbH"]
AntiVir Windows Workstation Planer, AntiVirScheduler, "C:\Programme\AntiVir Workstation\sched.exe" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
CHIPDRIVE SCARD Service, TWKSCARDSRV, "C:\WINDOWS\SCARDS32.EXE" ["Towitoko AG"]
SafeNet IKE Service, IREIKE, ""C:\Programme\WatchGuard\Mobile User VPN\IreIKE.exe"" ["SafeNet"]
SafeNet Monitor Service, IPSECMON, ""C:\Programme\WatchGuard\Mobile User VPN\IPSecMon.exe"" ["SafeNet"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
FaxWare Monitor\Driver = "faxwarmo.dll" [MS]
FRITZ!fax Color Port Monitor\Driver = "FritzColorPort.dll" ["AVM Berlin GmbH"]
FRITZ!fax Port Monitor\Driver = "FritzPort.dll" ["AVM Berlin GmbH"]
Tobit Color Monitor\Driver = "IMGMSGMO.dll" [null data]
Win2PDF Port\Driver = "win2pdfm.dll" [null data]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 34 seconds, including 18 seconds for message boxes)

Hallo,

bis jetzt kann ich auch nichts besonderes feststellen.
Die DNS-Dienste scheinen sauber zu laufen, da ein ping den Namen auflösen kann und auch eine Verbindung herstellt.
Sind die Einstellungen beim Internetexplorer (Internetoptionen/Verbindungen) verändert?

Im IE wurden keine Einstellungen verändert. Wie gesagt es ist auch bei einem neu installierten System und es ist Browser unabhängig.

Ich habe die Einstellungen gerade nochmal gechecked. Konnte aber auch nichts feststellen.

Atze

Hallo ...


ich habe komischerweise das gleiche Problem !!!

Erst seit heute, ohne Ankündigung ... hatte die letzten Tage zwar ein kleines virenproblem (siehe http://www.trojaner-board.de/50182-noch-probleme-nach-virenbefall.html )

google ist nicht zu erreichen, mit verschiedenen Browsern versucht

Google geht bei mir auch nicht.
Das ist meine Host-Datei:

Zitat:

127.0.0.1 localhost
127.0.1.1 homer
192.168.56.33 vd

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts
~
~

Und was mach ich jetzt? Muss ich Windows installieren?

Im Ernst:
Das Googleproblem ist kein Problem, dass auf deinem/meinem Rechner gelöst werden kann.

Wenige Infos gibt es zb bei heise oder den bereits von cad verlinkten Beiträgen.
Im Raum Berlin soll google auch schon wieder erreichbar sein.
Hier funktioniert dagegen nichts.

lg myrtille

Ich glaub du hast die falsche datei geöffnet. Die Datei heißt "hosts", bei mir als erste datei von insgesamt sieben. (vielleicht streikt aber auch google heute!!)
Nein im ernst, poste nochmal die richtige datei plz.