Windows-Update

[Johomo]

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Dokumente und Einstellungen\xxxxxxxxxxx>nslookup windowsupdate.micro sof
t.com
*** Der Servername für die Adresse 168.143.165.241 konnte nicht gefunden werden:
No response from server
Server:  UnKnown
Address:  168.143.165.241
*** windowsupdate.micro wurde von UnKnown nicht gefunden: No response from serve
r
C:\Dokumente und Einstellungen\xxxxxxxxxx>

Jetzt erschien dieses hier. Habe nur meinen Namen gexxxxt.

[Slartibartfass]

C:\Dokumente und Einstellungen\xxxxxxxxxxx>nslookup windowsupdate.micro sof
t.com

Machst Du das mit den Leerzeichen absichtlich?


Was sagt Deine hosts-Datei?

[Johomo]

Ich mache nichts absichtlich. Habe das nur so kopiert, wie es im schwarzen Feld war.
Ich finde keine Hosts im angebenen Ordner.

Habe gefunden und geöffnet, aber da steht nichts von windowsupdate!

[Rausch]

Also scheinbar wurden deine DNS - Einstellungen "verbogen"!
Wenn man mal auf die Adresse geht, die als dein DNS Server eingestellt ist, kommt folgende Seite:
http://168.143.165.241/ ...

Scheinbar wird da ein gehackter Server verwendet, um unwissende Kunden auf Phising-Webseiten zu lotsen.

Kannst du mal die Rückgabe des folgenden Befehls hier veröffentlichen?

"ipconfig /all" und interessant wäre mal eine traveroute mit Hilfe von "tracert windowsupdate.microsoft.com"

Gruß
Sven

[Johomo]

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Dokumente und Einstellungen\xxx>ipconfig/all
Windows-IP-Konfiguration
      Hostname. . . . . . . . . . . . . : xxx-el4p4pf
      Primäres DNS-Suffix . . . . . . . :
      Knotentyp . . . . . . . . . . . . : Unbekannt
      IP-Routing aktiviert. . . . . . . : Nein
      WINS-Proxy aktiviert. . . . . . . : Nein
      DNS-Suffixsuchliste . . . . . . . : localdomain
Ethernetadapter LAN-Verbindung 5:
      Verbindungsspezifisches DNS-Suffix: localdomain
      Beschreibung. . . . . . . . . . . : Realtek RTL8169/8110 Family Gigabit
Ethernet NIC
      Physikalische Adresse . . . . . . : 00-40-F4-CB-44-5C
      DHCP aktiviert. . . . . . . . . . : Ja
      Autokonfiguration aktiviert . . . : Ja
      IP-Adresse. . . . . . . . . . . . : 192.168.1.74
      Subnetzmaske. . . . . . . . . . . : 255.255.255.0
      Standardgateway . . . . . . . . . : 192.168.1.1
      DHCP-Server . . . . . . . . . . . : 192.168.1.1
      DNS-Server. . . . . . . . . . . . : 192.168.1.1
      Lease erhalten. . . . . . . . . . : Freitag, 23. Januar 2009 09:15:23
      Lease läuft ab. . . . . . . . . . : Freitag, 30. Januar 2009 09:15:23
PPP-Adapter Hansenet:
      Verbindungsspezifisches DNS-Suffix:
      Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface
      Physikalische Adresse . . . . . . : 00-53-45-00-00-00
      DHCP aktiviert. . . . . . . . . . : Nein
      IP-Adresse. . . . . . . . . . . . : 92.228.203.234
      Subnetzmaske. . . . . . . . . . . : 255.255.255.255
      Standardgateway . . . . . . . . . : 92.228.203.234
      DNS-Server. . . . . . . . . . . . : 85.255.116.98
                            85.255.112.6
      NetBIOS über TCP/IP . . . . . . . : Deaktiviert
C:\Dokumente und Einstellungen\xxx>tracert windowsupdate.microsoft.
com
Routenverfolgung zu windowsupdate.microsoft.com [72.14.205.100]  über maximal 30
Abschnitte:
  1    24 ms    29 ms    29 ms  lo1.br70.dus.de.hansenet.net [213.191.64.115]
  2    29 ms    29 ms    29 ms  ae0-101.cr02.dus.de.hansenet.net [62.109.110.62]
  3    39 ms    29 ms    29 ms  so-6-1-0-0.cr02.fra.de.hansenet.net [213.191.87.
170]
  4    28 ms    29 ms    29 ms  ae1-102.pr01.fra.de.hansenet.net [62.109.109.240
]
  5    29 ms    29 ms    29 ms  fra32-hansenet-2.fra.seabone.net [89.221.34.25]
  6    29 ms    29 ms    29 ms  decix-fra32-racc2.fra.seabone.net [89.221.34.135
]
  7    29 ms    29 ms    29 ms  google-2-decix.fra.seabone.net [89.221.34.90]
  8    29 ms    29 ms    39 ms  209.85.255.172
  9    29 ms    29 ms    49 ms  209.85.248.94
10   109 ms    39 ms    39 ms  209.85.250.140
11   119 ms    49 ms    39 ms  209.85.248.81
12   109 ms   109 ms   109 ms  64.233.175.213
13   129 ms   129 ms   129 ms  72.14.233.113
14   129 ms   139 ms   129 ms  66.249.94.92
15   130 ms   129 ms   139 ms  72.14.232.66
16   129 ms   129 ms   129 ms  qb-in-f100.google.com [72.14.205.100]
Ablaufverfolgung beendet.
C:\Dokumente und Einstellungen\xxx>

So richtig? Mit xxx habe ich den Namen unkenntlich gemacht. Hoffentlich hilft es Dir bei der Suche.

[Slartibartfass]

   DNS-Server. . . . . . . . . . . . : 85.255.116.98

              85.255.112.6

Diese IP-Adressen gehören der "UkrTeleGroup".
Einmal googeln nach diesem Begriff lässt Schlimmes vermuten.

[Johomo]

Ohauahauaha Un nu?

[Rausch]

Ja, nun ist es offensichtlich, ein Virus/Wurm hat deine DNS-Einträge geändert. Die Frage ist jetzt, ob das direkt in deinem Router passiert ist - oder, wie ich eher vermute, in deiner Netzwerkumgebung. Das können wir ja mal nachschauen.

Start -> Arbeitsplatz -> Untere "Andere Orte" die "Netzwerkumgebung" auswählen -> Rehte Maustaste auf den "PPP-Adapter Hansenet"
-> "Internetprotokoll TCP/IP" auswählen und dann auf Eigenschaften klicken.

Nun bist du in den Eigenschaften deines Netzwerkadapters. Bei beiden Abschnitten sollten folgende Radiobuttons (Das sind die Runden "Klickdinger" ) ausgewählt sein: "IP-Adresse automatisch beziehen" und "DNS-Serveradresse automatisch beziehen".

Wenn bei dir Einträge unter "Bevorzugter DNS-Server:" oder "Alternativer DNS-Server:" sein sollten, diese rauslöschen.
Das sind nämlich die "Übeltäter"!

Nun alles mit "OK" und "Übernehmen" schließen und neu Starten.

Nun sollten wieder die DNS Server von Hansenet eingestellt sein. Es kann aber auch sein, dass die DNS Einstellungen direkt im Modem von Hansenet geändert wurden - in diesem Fall müsstest du entweder die Firmware selber flashen (Wovon ich eigentlich abrate) oder du schickst es ein und lässt dir von Hansenet ein neues geben.

Wichtig ist allerdings:
- Sollten die Änderungen durch einen Virus/Wurm vorgenommen worden sein, ist dieser immer noch auf deinem System aktiv.
Eine 98%ige Wahrscheinlichkeit, dass dein System "sauber" ist, hast du nur, wenn du es neu installierst...

Gruß
Sven

[Slartibartfass]

Ich bin gerade beim Doc auf dem Rechner und lasse mal Adaware durchlaufen.
Sein DNS-Server war verbogen.
Jetzt stehen erstmal mehrere Durchgänge mit Spybot, Hijackthis und Adaware an...

Eine 98%ige Wahrscheinlichkeit, dass dein System "sauber" ist, hast du nur, wenn du es neu installierst...

Das sowieso!
Beiträge zusammengefasst: Freitag, 23. Januar 2009 - 16:25:50
Zango, SweetM und Konsorten sind schonmal drauf...
Beiträge zusammengefasst: Freitag, 23. Januar 2009 - 16:46:50
Huiuiu.
Ein sauberes System sieht definitiv anders aus.
Beiträge zusammengefasst: Freitag, 23. Januar 2009 - 16:49:19
DNS-Server auf automatisch gestellt, neu gestartet, und nun ist der Doc weg.

[Johomo]

Er ist wieder da und bedankt sich erstmal bei seinen fleißigen Helfern.

[Rausch]

Wunderbar! Und immer schön die Windows-Updates einspielen

[Slartibartfass]

Wunderbar! Und immer schön die Windows-Updates einspielen

Das System ist bisher alles, aber nicht sauber.

Doc, wir haben noch einige Sitzungen vor uns.

[wassolls]

Wie Slarti schon sagte, wird das System nicht sauber sein.
Am besten du formatierst es und setzt es neu auf.