Firefox meldet anstelle meiner IP eine aus Moskau
 

Compaq 4715s 3GB + 1GB RamDisk, Vista Home 6.0.6002 SP2 aut. Updates
Fritz.Box 7112 neueste Aktuell installierte Firmware-Version: 87.04.87
verbunden seit 26.05.2012, 03:15 Uhr, 1&1 Internet, IP-Adresse:
89.12.38.21
Opera wieistmeineip: Ihre IP-Adresse ist :
89.12.38.21
Firefox wieistmeineip: 46.31.26.12
utrace: IP-Adresse: 46.31.26.12
Provider: ZAO Kapstroytelecom
Organisation: ZAO Kapstroy Telecom
Goggle Search meldet automatischen traffic, verlangt captchas.
--------
Vollscan Antivir C:D:E:G:H: 0 gefunden
[D:System Tools, E:recovery, G:H: private Daten (Texte, Audio, Filme usw.)]
Malwarebytes C: 0 gefunden
HiJackThis204 C:Z: fand Hinweise auf 7 Großbuchtaben-Files.exe auf Z:
gefixt, Systemneustart, HiJackThis204 findet nichts mehr.
Aber Firefox-IP weiterhin aus Moskau s.o.

Vor 10 Minuten plötzlich BLUESCREEN ---- hatte ich noch nie
system problem found, windows shut down.
Automatischer Neustart, schicke dies jetzt ab.

Firefox fritz.box:
ERROR
The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: hxxp://fritz.box/
Unable to determine IP address from host name "fritz.box"
The DNS server returned:
Name Error: The domain name does not exist.
This means that the cache was not able to resolve the hostname presented in the URL. Check if the address is correct.
Your cache administrator is webmaster.
Generated Sat, 26 May 2012 01:37:56 GMT by debian (squid/2.7.STABLE9)
Jetzt ist es aber genau 26.5. 3:40

Opera, IE: finden beide fritz.box.

Bitte um Hilfe.

x: Fehler bei der Windows Sockets-Initialisierung: 5
TCP [::]:135 [::]:0 ABHÖREN 828
RpcSs
x: Fehler bei der Windows Sockets-Initialisierung: 5
UDP 192.168.178.21:138 *:* 4
x: Fehler bei der Windows Sockets-Initialisierung: 5
UDP 192.168.178.21:1900 *:* 1172
SSDPSRV
[svchost.exe]

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

2.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

3.
Lade dir von hier -> TrendMicro™ HijackThis™/Version 2.0.4 herunter
gruß
kira

Hallo Kira,
Dank für Deine schnelle Hilfe.
Ich habe seit dem BLUESCREEN statt firefox nur noch opera benutzt.
1. Run OTL:
OTL.TXT
OTL Logfile:
--- --- ---


Extras.Txt
OTL Logfile:
--- --- ---


2. Run ccleaner
3. Run HijackThis (alle Fenster gechlossen)
HijackThis.log
[code]
HiJackthis Logfile:
--- --- ---


Ist viel für Dich zu lesen und zu checken.
PS:
Ist es richtig, dass Trojaner / Viren mit portablen nichts anfangen können
oder es sich für Mafia&Co nicht lohnt, weil viel einfacher
in die Reg raffinierte Einträge zu plazieren?

Habe 1971 mit einer 360/44 (Kernspeicher auf 256 kB erweitert) angefangen, über die 360/165 mit 2MB bis zur 390 (0.05-2Mips) mit einem sagenhaften Adressraum von 16MB:
Hab damals einen Artikel gechrieben, wie man den erweitern konnte - statt dem BALR 15,14 mit BASR ... aber einen BLUESCREEN habe ich noch nie gehabt (wie Bill bei der
Vorführung seines revolutionären XP 2001) - 3 Jahre vorher war ein US-Kreuzer auf offener See wochenlang manövrierunfähig, weil das revolutionäre NT 3.51 abstürzte und niemand in der Lage war, irgend welche Werte zur Steuerung des Schiffes einzugeben. Jedenfalls hatte das Militär die Schnauze gestrichen voll von NT / XP.
Die sind glaube ich auf Ada und ein gehärtetes UNIX (BSD?) umgestiegen.
Na wenn das 1962 bei der Cuba-Krise so gelaufen wäre, würde ich nicht mehr leben und Du wärst gar nicht geboren worden....

vielen Dank nochmal von
Siggi30

PS. Spass muss doch sein nach so vielen öden Seiten Beweismaterial gegen die
russische Mafia... Mafiajäger Giovanni Falcone läst grüßen... 1992 500kg TNT unter der Autobahn bei Palermo... also sieh Dich vor...-

wann hast Du das Rootrepeal ausgeführt? kannst du mal bitte das Protokoll posten?

1.
- würde ich nicht mehr empfehlen, da erfüllt nicht die neue Schutzanforderungen und Lösungen Schutz vor Malware bzw gegenüber ganz neuen Herausforderungen arbeitet nicht zufriedenstellend
meiner Meinung nach bietet nicht mehr ausreichenden Schutz gegen "moderne Malwarearten"...
► Falls Du doch es behalten möchtest:
Stelle bitte den TeaTimer ab:
Gehe bei Spybot-S&D in den Erweiterten Modus und wähle dort Werkzeuge -> Resident.
Deaktiviere hier den "Resident TeaTimer aktiv".
(Tea Timer versucht positive änderungen auch zu blockieren) - soll für immer deaktiviert bleiben!

2.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript also - nach dem "Code", alles was in der Codebox steht - (also beginnend mit :OTL und am Ende [emptytemp]), alles was in der Codebox steht (ohne "code"!) :

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

3.
Java aktualisieren- über Systemsteuerung-> Nach Update suchen...
oder:
Downloade nun die Offline-Version von Java "Empfohlen Version für 64 Bit: Java(TM) 7 Update 4 " von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.

4.
Tipps (unabhängig davon ob man den Internet Explorer benutzt oder nicht!):
-> Tipps zu Internet Explorer
-> Standard Suchmaschine des Explorers ändern
-> Wie kann ich den Cache im Internet Explorer leeren?

5.
reinige dein System mit CCleaner:

• "CCleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

6.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

7.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code:

  ---

  mbr.exe -t > C:\mbr.log & C:\mbr.log

  ---

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

8.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

1. ad rootrepeal u.ä.

AVIRA:
Am 16.5. 19:12 habe ich notiert:

nach mind. 1:37:20 Zeit
durchsuchte Objekte: 657410
Dateien: 3350
1 verstecktes Objekt gefunden.
ohne manuellen Abbruch stürzte der Scan ohne Protokoll ab.

RUNSCANNER:
2. Habe den TeaTimer deaktiviert.

3. Habe alles Java deinstalliert

5. CCleaner ist gelaufen.

6. GMER log:
7. MBR
8. OTL: otl.txt
extras.txt
OTL Logfile:
--- --- ---

[/code]

IP-Adresse: 188.93.20.179
Provider: Selectel
Organisation: Selectel Network

Karte zeigt Sibirien

fritz.box:
An error has occurred: {"stack":"Error: ENOTFOUND, Domain name not found\n at IOWatcher.callback (dns.js:74:15)","message":"ENOTFOUND, Domain name not found

Auch abgesicherter Start (keine Erweiterungen) ändert nichts.

Firefox beendet.


Aber: Firefox mit einem anderen Profil findet fritz.box und
wieistmeineip ist richtig.

Vermutlich das bösartige MBR-Rootkit hat sich im MBR festgesetzt...
Der Master Boot Record (MBR) der ersten Festplatte wird beim Start des Rechners geladen, noch vor dem Betriebssystem. Code, der Dort residiert, kann im Prinzip das Betriebssystem kontrollieren.

Hast Du Vista-CD?